L’autorità per la protezione dei dati francese sfida il principio di Cartesio secondo cui il dubbio rappresenti l’inizio della conoscenza.
Il CNIL cerca di eliminare i dubbi privacy degli sviluppatori tracciando delle linee guida utili per rispettare il GDPR.
Sul proprio sito il CNIL (Commission Nationale Informatique et Libertés, l’equivalente francese del nostro Garante) ha creato una sorta di vademecum indirizzato agli sviluppatori, utile allo sviluppo e alla distribuzione di applicazione.
Il documento si articola in 17 macro-punti.
Sviluppare in conformità al GDPR
Per garantire che i dati degli utenti e tutti i trattamenti di dati personali siano sufficientemente protetti per tutto il ciclo di vita del progetto occorre:
- Prima di tutto conoscere i principi fondamentali del GDPR;
- Tenere un registro delle attività di trattamento per poter mappare e classificare correttamente i dati e l’elaborazione;
- In base a quanto emerso sarà opportuno identificare eventuali azioni necessarie anche sulla base della valutazione d’impatto sulla privacy;
- Mettere in atto i processi interni;
- Creare la documentazione prevista dal regolamento.
Dati anagrafici identificativi
Avere ben chiaro quali sono i dati personali, quali di questi appartengono alla categoria di dati sensibili è estremamente utile.
Conoscere e attuare le pratiche che determinano l’anonimizzazione e la pseudonimizzazione dei dati quando necessario diventa indispensabile.
Prepara la fase di sviluppo
Il mantra è il “privacy by design”: ossia mettere la protezione della privacy sempre al centro dei processi di sviluppo.
Questo significa adottare determinate scelte tecnologiche in fase di definizione di architettura e caratteristiche del sito, ma anche nell’individuazione degli strumenti e delle pratiche idonee.
Proteggi l’ambiente di sviluppo
Cosa significa proteggere l’ambiente di sviluppo?
Significa valutare i rischi e adottare le opportune misure di sicurezza, significa proteggere i server e le postazioni di lavoro in modo omogeneo e riproducibile, significa porre particolare enfasi sulla gestione degli accessi e sulla tracciabilità delle operazioni.
Gestisci il codice sorgente
Qualunque sia la dimensione del progetto, si consiglia vivamente di utilizzare uno strumento di gestione del codice sorgente come un sistema di controllo della versione per tenere traccia delle sue diverse versioni nel tempo.
Fai una scelta consapevole dell’architettura
Durante la progettazione dell'architettura è fondamentale individuare quali dati personali verranno raccolti per definire il loro percorso e il relativo ciclo di vita.
La scelta degli asset di supporto rappresenta un passaggio cruciale e deve essere basata sulle esigenze e sulle conoscenze tecniche.
Il registro e la conduzione di una valutazione dell'impatto sulla privacy possono diventare elementi di supporto alla scelta.
Proteggi siti, applicazione e server
Proteggere le reti di comunicazione non è sufficiente a garantire la sicurezza di base all’avanguardia, occorre adottare anche processi volti alla protezione delle autenticazioni e della messa in sicurezza delle infrastrutture.
Minimizza la raccolta dei dati
Spesso e volentieri il principio di minimizzazione è la spada di Damocle che sentenzia la fine o il danneggiamento di numerosi progetti.
Non bisogna sottovalutare questo principio e agire preventivamente individuando quali dati sono necessari e quali no, oltre a definire in maniera chiara il limite temporale di conservazione ma soprattutto il processo di cancellazione automatica.
Gestisci i profili utente
Fa il verso al punto precedente: trasformato in azioni concrete significa definire i diversi profili di accesso e autorizzazione in modo che ogni persona possa accedere solo ai dati di cui ha effettivamente bisogno.
Controlla le librerie e software di terze parti
Un punto valido per gli sviluppatori che utilizzano librerie, SDK o altri componenti software scritte da terze parti.
Prestare massima attenzione nella scelta di questi elementi e valutare l’utilizzo solo in funzione della loro utilità
Garantisci qualità del codice e della documentazione
La parola d’ordine è semplicità, che applicata al codice si traduce in leggibilità.
L’adozione di buone buone tecniche di scrittura del codice garantisce la leggibilità del codice necessaria a ridurre lo sforzo di manutenzione e correzione dei bug nel tempo per te e per i tuoi collaboratori, presenti e magari futuri.
Prova le applicazioni
Mettersi nei panni del potenziale utente è una delle più importanti leggi del marketing per comprendere bisogni, necessità e problemi del nostro target.
In questo caso lo sviluppatore che utilizza questo approccio ottiene diversi vantaggi:
- Verifica per primo il corretto funzionamento e la buona esperienza d'uso;
- Trova e previene i difetti prima che entri in produzione;
- Riduce notevolmente il rischio di violazioni dei dati personali.
Informa gli utenti
Avete presente le 5W del giornalismo? Siamo lì vicino.
Capire chi informare, quando informare, cosa inserire nell’informazione e come informare.
Il perché invece dovrebbe essere già ben chiaro: Il principio di trasparenza del GDPR.
Ricorda i diritti degli utenti
Il nuovo regolamento sulla gestione e il trattamento dei dati personali offre ai soggetti di cui trattiamo i dati, i diritti di accesso, rettifica, opposizione, cancellazione, portabilità dei dati e limitazione del trattamento.
Preparare in maniera preventiva le modalità in cui gestire l’esercizio di tali diretti garantisce un vantaggio gestionale, temporale e competitivo non indifferente.
Definisci il periodo di conservazione dei dati
Abbiamo già affrontato il tema nel punto 8 (minimizzazione), accennando al periodo di conservazione di dati.
Considerata l’importanza, l’autorità francese torna ancora sull’argomento ribadendo che una volta ottenuta la finalità del trattamento i dati dovrebbero essere archiviati, cancellati o resi anonimi.
Considera la base giuridica nell’attuazione tecnica
La scelta di una base giuridica ha un impatto diretto sulle condizioni di esecuzione dell'operazione di trattamento e sui diritti delle persone fisiche.
Per questo motivo anticipare la base giuridica delle operazioni di elaborazione prima di qualsiasi sviluppo permetterà di integrare le funzioni necessarie per garantire che tali operazioni di elaborazione siano conformi alla legge e rispettino i diritti delle persone
Usa i dati sui tuoi siti web e sulle applicazioni
Considerando che la maggior parte delle offerte di misurazione dell'audience di grandi dimensioni non rientra nei casi di esenzione, per risolvere questo limite si può contattare il provider oppure utilizzare un software open source.