Privacy by design: come un software può aiutare
26 Maggio 2020 in Governance Risk & Compliance As a Service - GRC360
Privacy by design è un concetto introdotto con il GDPR che sembra non essere stato totalmente recepito dalle aziende italiane. Eppure, è un aspetto fondamentale per la compliance al regolamento europeo, strettamente legato all’accountability: trascurarlo significa non aver compreso che la data protection non èun progetto realizzato e concluso con l’adeguamento iniziale al GDPR, ma un processo di miglioramento continuo di cui non si può fare a meno per gestire correttamente le innovazioni. Strumenti digitali adeguati possono sostenere le imprese nel prestare attenzione alla privacy sin dalla progettazione di un trattamento di dati, favorendo la comunicazione tra livelli ed evitando spiacevoli conseguenze, immancabili in caso di trascuratezza di questo campo.
Privacy by design, perché è indispensabile: esempi pratici
La dicitura privacy by design indica la progettazione degli aspetti legati alla data protection di qualsiasi iniziativa aziendale, sin dall’inizio, quando il nuovo progetto è ancora solo un’idea. Si tratta di un concetto fondamentale del GDPR, sancito dall’articolo 25 del regolamento europeo. Diversamente da quanto si crede, questo principio non riguarda solo le innovazioni tecnologiche ma anche organizzative e le iniziative di business. Si pensi, come esempio concreto, all’apertura di un call center. Nel caso l’imprenditore decidesse di avviare il call center in un Paese extra europeo, come per esempio l’Albania, dovrà tener conto che le attività che svolgerà comporteranno il trasferimento di dati fuori dall’Unione Europea, particolare trattamento per cui devono essere previste adeguate garanzie. Se l’imprenditore è ben conscio del ruolo della privacy e dell’impatto che questa può avere sulla sua attività, potrà valutare meglio costi, benefici e rischi prima di avviare il call center. Altrimenti, in modo superficiale potrebbe scoprire solo dopo che l’adeguamento alla data protection richiede costi – o peggio se ne renderà conto nel momento di un incidente o un’ispezione, quando gli verrà comminata una sanzione.
Negli ultimi mesi, a causa dell’emergenza coronavirus, sono fioriti i totem per l’accoglienza in azienda o nei negozi. Al posto di esseri umani, alla reception le persone troveranno intelligenze artificiali più o meno evolute a organizzare le code e gestire. È importante però sapere che i risvolti privacy dell’uso di questa tecnologia vanno valutati prima dell’installazione, non dopo, proprio al momento in cui si progetta l’innovazione: in questo caso ad esempio andrà valutato attentamente l’aspetto della minimizzazione dei dati, in modo da raccogliere solo i dati veramente necessari per le finalità del trattamento e definire tempi di conservazione adeguati. È evidente come chi non sia esperto della tematica rischi di incappare in errori, limitandosi magari a predisporre una nuova informativa quando il totem (ed il sistema che lo gestisce) sono già configurati e installati. Per questo è utile avvalersi di consulenti in grado di fornire i giusti suggerimenti e mettere in guardia se necessario da possibili rischi.
Privacy by design, gli strumenti per essere sul pezzo
La necessità di una rivoluzione nella mentalità imprenditoriale relativamente alla privacy è necessaria soprattutto per il benessere dell’azienda e del proprio business, ma anche degli interessati al trattamento dei dati, che potrebbero venir danneggiati da condotte non compliant. Non è ancora chiaro, nella quotidianità delle imprese, che qualsiasi attività va pianificata tenendo conto anche della privacy by design. Questo ostacolo rappresenta la vera sfida verso il completo adeguamento delle imprese: non ci si può limitare a far condurre ai propri esperti un check sui processi adottati quando questi sono già conclusi. Bisogna strutturarli a priori considerando la protezione dei dati. Per mettere in condizione chi deve condurre le opportune valutazioni di venire a conoscenza delle nuove iniziative è opportuno intercettare le novità già sul nascere, attivando appositi “flussi informativi”.
Questi ultimi possono essere implementati in azienda ricorrendo a strumenti digitali. Gli incaricati privacy dell’impresa hanno la necessità di tenere sotto controllo i cambiamenti, le nuove attività intraprese, qualsiasi operazione che venga svolta, per poterne valutare i risvolti. Una piattaforma per la compliance può per esempio inviare survey frequenti, a cadenza anche trimestrale, per fare il punto della situazione e chiedere se sia cambiato qualcosa nell’organizzazione. Si tratta di una raccolta di informazioni utili per capire se siano necessari interventi in materia di privacy e, nel caso, adottare le adeguate iniziative.
Una piattaforma di questo genere oltre a inviare questionari, formula report, permette la gestione della comunicazione tramite workflow, favorendola quindi su più livelli, ma è capace anche di lanciare alert e solleciti. Piccole soluzioni che aiutano a implementare la privacy by design, supportando le funzioni preposte alla governante della privacy nell’individuazione delle necessità cui adempiere. Uno strumento utile anche in caso di audit, per dimostrare la propria accountability: la digitalizzazione permette di tenere traccia delle diverse attività svolte e delle azioni intraprese per garantire la compliance al GDPR.
Paolo Calvi – Data Protection Officer presso P4I – Partners4Innovation