“Ad aspettare che qualcosa accada, può avvenire il peggio” scrive Mario Desiati nel libro “Spatriati”.
Eppure se applicassimo questa massima al concetto di privacy by design, potremmo affermare senza timori di smentita che il ponte tra obiettivi e realizzazioni sia stato già costruito e modernizzato.
Ad essere meticolosi potremmo dire che il lavoro di pianificazione da parte degli ingegneri privacy sia stato condotto egregiamente e pure aggiornato nel tempo, ma sia l’applicazione che il controllo dei risultati hanno prodotto qualche crepa.
C’è bisogno della ISO 31700 per disciplinare il concetto di privacy by design
Come ben sappiamo, l’introduzione del GDPR rappresenta uno dei più importanti spartiacque nella storia della gestione e del trattamento dei dati personali.
Uno dei concetti su cui verte l’intera General Data Protection Regulation è la privacy by design, ossia la predisposizione da parte del titolare del trattamento a misure tecniche e organizzative adeguate come pseudonominizzazione e anominizzazione.
Eppure di privacy by design se ne parla sin dagli anni ’90, quando il Commissario per l’informazione e la privacy dell’Ontario quando Anna Cavoukian, nominò per la prima volta questo concetto.
La nascita è dovuta alla sua intuizione in merito allo sviluppo delle tecnologie ICT che avevano importanti effetti sul trattamento dei dati personali.
L’approccio teorizzato dalla Cavoukian è divenuto poi una delle pietre miliari del GDPR: ogni organizzazione deve far propri i principi della tutela della privacy, tanto da farli diventare parte integrante della propria mentalità e delle proprie procedure.
I sette principi fondamentali della privacy by design
Come abbiamo già visto all’interno del nostro blog, i 7 principi fondamentali della privacy by design sono contenuti nell’articolo 25 del GDPR:
- Approccio proattivo e preventivo che anticipi e prevenga eventuali violazioni della privacy;
- Privacy come impostazione di default: le impostazioni per la tutela dei dati personali devono essere inglobate, per impostazione predefinita, in qualsiasi prodotto, servizio o pratica commerciale;
- Privacy incorporata nel progetto: le impostazioni come pseudonomizzazione e minimizzazione dei dati devono essere incorporate fin dalla fase di progettazione di un prodotto, servizio o pratica commerciale;
- Massima funzionalità per assolvere alle svariate esigenze e rifiutando pericolose dicotomie come “privacy contro sicurezza”, dal momento che entrambe possono essere assicurate al tempo stesso;
- Protezione e sicurezza durante tutto il ciclo-vita del prodotto/servizio offerto;
- Visibilità e trasparenza dell’intero processo di trattamento del dato personale;
- Centralità dell’utente: l’interesse dell’utente di un servizio o prodotto deve essere messo al primo posto attraverso il pieno rispetto dei suoi diritti, tra le altre cose.
La ISO 31700 integra la privacy by design introdotta dal GDPR
Neanche un’ottima progettazione del ponte e il relativo aggiornamento consentono di superare la barriera del mare, che separa il dire dal fare.
Stiamo parlando del concetto di privacy by design introdotto dal GDPR che ha bisogno di un approccio robusto e pratico che consenta l’implementazione di un sistema per la protezione dei dati personali sin dalla progettazione dei beni e servizi che si vogliono offrire.
Da questa necessità nasce la pubblicazione a gennaio 2023 della norma ISO 31700-1:2023 “Consumer protection — Privacy by design for consumer goods and services”.
La norma è un insieme di requisiti di prodotto in cui ogni requisito è accompagnato da una spiegazione e da una guida. La norma descrive processi, non misure di sicurezza.
Come è strutturata la norma ISO 31700
I requisiti della ISO 31700 sono 27, suddivisi in 5 capitoli:
- Requisiti generali sulla progettazione, sui ruoli e responsabilità, sulle competenze e sulla documentazione di supporto;
- Richieste di comunicazione: istruzioni da fornire ai consumatori, risposte alle richieste e ai reclami dei consumatori, comunicazioni sulle violazioni ai dati personali;
- Requisiti sulla gestione del rischio;
- Requisiti sullo sviluppo, la realizzazione e l'esercizio dei controlli relativi alla privacy (inclusi quelli sui test);
- Conclusione del ciclo di vita del prodotto.