Privacy by design è un'espressine riguardante il principio di incorporazione della privacy a partire dalla progettazione di un processo riguardante la tutela dei dati personali, con le relative applicazioni informatiche di supporto. Questo implica la messa in atto di determinati meccanismi i quali garantiscono il trattamento esclusivo di dati personali necessari per quella specifica progettazione.[1]
Storia
[modifica | modifica wikitesto]A metà degli anni 1990, a livello internazionale, si è sottolineato il notevole cambiamento riguardante la privacy, che ha delineato delle nuove direttive riguardo alle cosiddette PET (Privacy Enhancing Technologies), ossia tutte quelle tecnologie nell'ambito dell'ICT utili ad accrescere la protezione dei propri dati personali. Un riferimento importante riguardante i contenuti delle PET risiede nell'art. 3 del codice della privacy, denominato Principio di necessità nel trattamento dei dati:
«I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità»
Successivamente alla PET, si è giunti alla Privacy By Design. Nel 2010 la 32ª Conferenza mondiale dei Garanti privacy ha adottato la risoluzione sulla Privacy by Design (PbD) rendendo in tal modo ufficiale questo nuovo concetto che era comunque già noto ed utilizzato negli Stati Uniti e in Canada. Con la PbD si è inteso istituzionalizzare il cambiamento e l'evoluzione della privacy che, pertanto, richiede un nuovo approccio per garantire una migliore protezione dei dati personali[2].
Il concetto di Privacy by Design è stato poi formalmente introdotto nel Regolamento generale sulla protezione dei dati, il cui articolo 25 recita: "Data protection by design and by default". Secondo il testo di questo articolo è chiaro che la Commissione Europea esamini i termini "by design" e "by default" come concetti diversi, anche se vengono utilizzati nella medesima espressione.
Descrizione
[modifica | modifica wikitesto]Definizione
[modifica | modifica wikitesto]Qualsiasi progetto (sia strutturale sia concettuale) va realizzato considerando dalla progettazione (appunto by design) la riservatezza e la protezione dei dati personali. La PbD comprende una trilogia di applicazioni:
- Sistemi IT
- Pratiche commerciali corrette
- Progettazione Strutturale e Infrastrutture di rete
e ben 7 principi definiti fondazioni che definiscono pienamente il senso di questa direttiva:
- Proattivo non reattivo – prevenire non correggere
- Privacy come impostazione di default
- Privacy incorporata nella progettazione
- Massima funzionalità − Valore positivo, non valore zero
- Sicurezza fino alla fine − Piena protezione del ciclo vitale
- Visibilità e trasparenza − Mantenere la trasparenza
- Rispetto per la privacy dell'utente − Centralità dell'utente
È una metodologia strutturata che garantisce una neutra e solida funzionalità operativa indipendente dalla soluzione tecnologica adoperata, rimanendo conforme con i valori fondamentali dell'individuo.
Obiettivi
[modifica | modifica wikitesto]L'obiettivo principale è quello di elaborare due concetti:
- La protezione dei dati
- La protezione degli utenti
prestando molta attenzione sull'aspetto della privacy e, successivamente, su quello dei diritti. L'utente diventa il punto di partenza per sviluppare il progetto in base alla legge sulla privacy e quindi con un approccio user centric. Ogni volta che un progetto inizia deve prendere in considerazione, prima di tutto, il ruolo dell'utente, progettando tutto attorno alla persona fisica. Secondo questo metodo è molto semplice evitare i rischi privacy e di sicurezza. La PbD esclude, pertanto, che si possa effettuare una valutazione di conformità alla normativa successivamente alla redazione del progetto o comunque posteriormente in occasione di un evento, in quanto la privacy va considerata già nella fase di progettazione. La valutazione di "PbD compliance" costituisce un valore aggiunto di rilievo perché attesta che tutti i processi sono stati seguiti considerando adeguatamente la protezione dei dati personali[2]. .
Nel mondo
[modifica | modifica wikitesto]La descrizione ben definita della Privacy by Design è stata elaborata dalla Dott.ssa Ann Cavoukian, membro della Information and Privacy Commissioner of Ontario, Canada. Secondo la Dott.ssa, l'utente è considerato il centro del sistema privacy (per definizione, quindi, è user centric).
Note
[modifica | modifica wikitesto]- ^ Impatti derivanti dalla proposta di nuovo Regolamento Europeo sulla protezione dei dati personali, su filodiritto.com. URL consultato il 18 gennaio 2016 (archiviato dall'url originale il 3 febbraio 2016).
- ^ a b Privacy by Design: l'approccio corretto alla protezione dei dati personali, su diritto24.ilsole24ore.com.