Think before you develop!

E’ consolidata e malsana abitudine considerare gli aspetti privacy solo “a valle” della progettazione o della realizzazione di un prodotto o di un servizio. E, spesso, tale attività postuma viene incentrata esclusivamente sugli adempimenti formali (clausole contrattuali, informative, etc.). Se questo poteva essere definito fino a ieri un approccio poco lungimirante, oggi deve ritenersi del tutto inopportuno. E tra non molto, in diversi casi, diverrà illecito. Qualsiasi iniziativa commerciale o implementazione tecnologica che abbia ad oggetto un importante trattamento di dati personali deve essere soggetto a previa analisi che ne attesti la fattibilità in termini di rispetto delle norme e che illustri i costi, gli impegni e i rischi che debbono essere preventivati per rendere – “lato privacy” – la novità giuridicamente inattaccabile e operativamente gestibile.

Un approccio moderno e razionale alla privacy esclude che si possa effettuare una valutazione di conformità alla normativa successivamente alla stesura di un progetto o, comunque, posteriormente alla realizzazione di un’iniziativa: la privacy va considerata già nella fase di pianificazione. L’evoluzione della normativa sulla protezione dei dati (v. Regolamento Europeo operativo dal 2017, ma in USA e Canada hanno adottato da tempo tali principi) renderà obbligatoria questa serie di valutazioni preliminari. Ma, oltre a ciò, si pone una questione di mera opportunità: sono innumerevoli i casi di aziende che hanno speso tempo e denaro nell’ideazione e nello sviluppo di progetti che sono poi risultati non realizzabili perché deficienti o insostenibili rispetto agli obblighi di privacy.

Vi è un ulteriore aspetto da considerare riguardo l’immagine aziendale. Se sottoponi le tue innovazioni ad una stringente attività di valutazione preventiva da parte di professionisti specializzati, potrai fare “marketing sulla privacy”. Ossia, potrai trasmettere al tuo pubblico (clienti, partner, fornitori o utenti, etc.) il tuo senso di responsabilità e consapevolezza, facendo trasparire come la qualità che offri passi anche attraverso processi di verifica incentrati sul rispetto dei diritti fondamentali delle persone e sulla sicurezza delle informazioni.

Viceversa, chi dovesse lanciare determinate iniziative senza nemmeno averne preventivamente valutato le problematiche di privacy, rischia – oltre a seri guai giudiziari – di incorrere in un eclatante danno reputazionale ossia di essere identificati come operatore superficiale e inaffidabile o, peggio, senza scrupoli. Oggi, agli occhi del pubblico, non è più tollerabile che ci sia chi cerca di “far soldi fregandosene completamente” della privacy altrui.

Privacy Impact Assessment (PIA)

Quando un progetto, per la sua natura, il suo oggetto o le sue finalità, presenta rischi specifici per i diritti e le libertà degli interessati e delle loro informazioni, è necessario effettuare una valutazione di impatto privacy. La valutazione del progetto deve essere preliminare, ossia quando vi è ancora tempo e modo di influenzare positivamente le sue caratteristiche in termini di privacy compliance. In assenza di un PIA, v’è il serio rischio di non poter dar vita al progetto per eccesso di criticità di privacy o di dover sopportare alti costi per rincorrere a posteriori una compliance difficoltosa o frammentaria.

La PIA è, in altre parole, la procedua per stimare l’impatto privacy di un determinato processo/servizio/prodotto al fine di adottare preventive soluzioni per ridurre o eliminare criticità. Il PIA si sviluppa, in estrema sintesi, attraverso una serie di step operativi ognuno dei quali sarà costantemente condiviso con il tuo gruppo di lavoro:

1. piano strategico;
2. analisi del progetto;
3. analisi dei rischi (normativi, gestionali, reputazionali, etc.);
4. elaborazione remediation plan (correttivi connessi al trattamento e alle misure di sicurezza);
5. report finale

Al termine del nostro intervento ti forniremo uno strumento di facile comprensione e utilizzo. E saprai se ti conviene portare a compimento il tuo progetto nel rispetto della Legge, ottimizzando di conseguenza budget e risorse dedicate.

Privacy by Design (PbD)

Quando l’esito di un PIA definisce come praticabile l’esecuzione di un progetto nel degli obblighi di privacy e quando il Titolare, a fronte di eventuali correttivi da assumere o modifiche da apportare, accetta di proseguire nell’implementazione dello stesso, si passa alla fase “ingegnerizzazione” degli aspetti di privacy.

Il progetto deve, infatti, prevedere nella fase di sviluppo e realizzazione le specifiche soluzioni di compliance evidenziate dal report finale del PIA. Si parla, a tal proposito, di Privacy by Design (PbD) e consiste nella implementazione delle misure tecniche/organizzative che devono essere parametrate in relazione alla specificità del progetto ma in costante riferimento con lo stato generale dell’arte delle Privacy Enhancing Technologies (PET) e delle best practice procedurali. La PbD è strutturata secondo uno schema che la colloca in 3 grandi azioni (o aree operative) e 7 principi fondamentali. Le azioni sono:

1. Tecnologia dell’informazione;
2. Pratiche commerciali responsabili;
3. Progettazione delle strutture.

I principi sono:

1. atteggiamento proattivo e non reattivo (prevenzione e non rimedio);
2. privacy by default (il livello preimpostato di protezione deve essere massimo, eccezioni solo per atto volontario dell’utente);
3. privacy incorporata nell’architettura;
4. completa funzionalità – “positive sum, not zero sum” (evitare trade-off tra privacy e funzionalità disponibili, entrambe le parti devono poter ottenere i benefici sperati senza dover rinunciare ad alcunché);
5. protezione per l’intero ciclo vitale delle informazioni;
6. visibilità e trasparenza;
7. rispetto della riservatezza dell’utente (user-centric approach).