Privacy by design: la nuova sfida per la giurisprudenza
6 Settembre 2019 in Governance Risk & Compliance As a Service - GRC360
La privacy by design rappresenta la nuova sfida normativa da affrontare per essere a norma con il GDPR. Il mondo civile e industriale è in evoluzione, negli ultimi anni la tecnologia sempre più avanzata ha sconvolto le regole del business e della società. Con queste innovazioni sono sorti nuovi problemi legati alla privacy, per cui le norme precedenti non bastavano a tutelare i diritti e la libertà delle persone. Da qui la necessità di una data protection efficace per affrontare le criticità poste dall’introduzione di innovazioni iperconnesse e intelligenti. Ecco il contesto in cui si è reso fondamentale il principio della privacy by design tracciato dal GDPR.
Privacy by design, baluardo normativo della tutela dei dati
Come ha sottolineato il Garante della privacy Antonello Soro in un intervento del 2018 riportato sul sito dell’Autorità italiana, l’intero corpus normativo del GDPR è volto all’obiettivo di adeguamento all’evoluzione tecnologica. Le nuove tecnologie vengono spesso definite disruptive dagli analisti, in quanto capaci di provocare un impatto sconvolgente sugli ambiti del vivere quotidiano: la società, l’industria, la politica. Ovviamente, anche la privacy viene coinvolta in questo ciclone innovativo. Tuttavia, con le nuove tecnologie sono sorte anche nuove criticità relative alla protezione dei dati. Si pensi per esempio alle implicazioni che comportano i trattamenti dei dati legati a sistemi IoT o di Intelligenza Artificiale, con la nascita di rischi di sicurezza e violazione della libertà altrui che prima non esistevano e non erano contemplati dai regolamenti precedenti. Gli strumenti normativi rischiavano dunque di ritrovarsi indeboliti dinnanzi a questa travolgente rivoluzione. Il GDPR ha voluto colmare eventuali lacune proprio attraverso l’introduzione del principio di privacy by design.
Anticipare il GDPR con la privacy by design
Il concetto generale da tenere a mente quando si affronta la privacy by design, è quello di servirsi della prevenzione per evitare dolorose conseguenze e costosi rimedi. Con questo approccio il GDPR ha rivoluzionato il modo di pensare rispetto ai processi innovativi delle aziende, coinvolgendo nuovi aspetti legali nella fase di progettazione delle attività. Ecco dunque che al pensiero di acquisire nuovi macchinari IoT per esempio non si deve più fare solo qualche calcolo per valutare spese e benefici, né limitarsi a scandagliare le opzioni tecniche per ottimizzare la propria produzione: bisogna infatti anche tenere conto dell’impatto che tali strumenti iperconnessi avranno sulla data protection, quali trattamenti saranno svolti, che rischi si corrono in materia di privacy. Con il regolamento europeo diventa legge un modus operandi improntato alla lungimiranza, che presuppone interventi, analisi del rischio, valutazioni d’impatto e acquisizione di competenze per restare al passo.
Come affrontare la sfida della privacy by design
Privacy by design non è ovviamente solo un concetto astratto contestualizzato nell’attuale panorama sociale ed economico europeo. Al contrario, il GDPR è molto concreto quando all’articolo 25 introduce questo principio. Il regolamento da subito mette in chiaro in che modo il titolare del trattamento deve comportarsi per metterlo in pratica. Il regolamento europeo sottolinea in primis che il titolare deve predisporre adeguate misure sia tecniche che organizzative che permettano di assicurare la compliance al GDPR sia nelle fasi preliminari di determinazione e adozione degli strumenti che prevedono il trattamento dei dati, sia poi quando il trattamento dei dati verrà attuato effettivamente. Il GDPR impone al titolare del trattamento di considerare gli ambiti di applicazione, le finalità e il contesto del trattamento dei dati, così come lo “stato dell’arte” e i costi dell’attuazione.
Mettere in pratica tutto ciò rappresenta una sfida normativa per le aziende che oggi si trovano ad affrontare la privacy by design. Gli strumenti a disposizione sono diversi, dalla loro buona gestione deriva l’adeguamento a questo principio.