La privacy by design diventa anche by default
Il nuovo Regolamento Europeo sulla privacy prevede che i processi aziendali vengano pensati a priori per proteggere i dati degli utenti.
Adottare una politica aziendale di gestione dei dati (by default) e sviluppare ogni sistema informatico che utilizza tali dati in modo che sia il più sicuro possibile. Queste sono le due misure che il Regolamento Europeo sulla privacy, approvato nell’aprile 2016, richiede alle aziende che raccolgono i dati degli utenti.
Questo significa chele aziende non solo dovranno disporre di un criterio per raccogliere le informazioni (che non dovranno essere superiori a quanto richiesto dalla finalità prevista), ma dovranno anche fare in modo che ogni progetto nasca con i giusti requisiti per garantire la sicurezza necessaria: valutazione dei rischi, scelta dei processi e monitoraggio delle attività sono solo alcune delle misure che le imprese saranno chiamate ad implementare.
Cosa dice il Regolamento?
Per capire meglio cosa prevede il Regolamento per le misure da adottare, basta leggere l’articolo 25, che dice:
Articolo 25 – Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita
- Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
- Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.
- Un meccanismo di certificazione approvato ai sensi dell’articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.
Quello richiesto, quindi, è un approccio personalizzato per i vari casi e sempre basato su di un’attenta valutazione dei rischi. Tutte misure che le aziende dovranno assolutamente implementare entro il 25 maggio 2018, data oltre la quale potranno scattare sanzioni fino a 20 milioni di euro o pari al 4% del fatturato annuo.