fbpx
Privacy by design e GDPR

Privacy by design e GDPR

Privacy by design e GDPR

In un precedente articolo abbiamo già accennato al concetto di privacy by design. Avevamo detto che privacy by design significa proteggere i dati fin dalla loro progettazione. Ossia il trattamento prima di metterlo in atto va pensato per capire come proteggere i dati. Una misura che rappresenta questa tipologia di privacy è quella della pseudonimizzazione.

Art. 25, par. 1: privacy by design

Oggi parleremo più approfonditamente di questa tematica. Innanzitutto, possiamo trovare la privacy by design all’art. 25, par. 1 del GDPR, e la sua traduzione in italiano è protezione dei dati fin dalla progettazione.

La privacy by design deve essere attuata tenendo conto:

  1. dello stato dell’arte e dei costi di attuazione;

  2. della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento;

  3. dei rischi aventi probabilità e gravità diverse di verificarsi che possano andare ad incidere sui diritti e sulle liberà delle persone fisiche.

I rischi

La tematica dei rischi la avevamo già affrontata in due precedenti articoli:

Il GDPR fa spesso riferimento al concetto di rischio e di rischio elevato. Infatti potremmo dire che le due colonne portanti in tema di protezione dei dati personali sono:

  1. da un lato i rischi;
  2. dall’altro il tema della responsabilizzazione.

Se perciò volessimo sintetizzare questo concetto, potremmo scrivere la seguente equazione:

Accountability + Risck-based approch = Privacy/ Data protection impact assessment

Quando deve essere attuata la protezione dei dati fin dalla progettazione? Quali sono le sue caratteristiche?

Fin dal momento dell’inizio del trattamento. Infatti per valutare se si è conformi al GDPR, la privacy è necessario che sia incorporata nella progettazione del prodotto stesso. Cioè si dovrebbe poter valutare la conformità del nostro trattamento fin dall’inizio della progettazione del prodotto o del servizio o dell’offerta. E tale valutazione si deve basare su una documentazione.

Altro punto fermo importante è quello di garantire la sicurezza del prodotto o del servizio lungo tutta la sua vita. Quindi se ad esempio vi è stato il rischio di cyber attack, ci deve essere la possibilità di prevedere una distruzione dei dati conservati in un determinato dispositivo.

Contattaci subito per un preventivo

15 + 10 =

La pseudonimizzazione

La pseudonimizzazione

La pseudonimizzazione nel GDPR

In un precedente articolo abbiamo già accennato al concetto di pseudonimizzazione. Lì, ne parlavamo con riferimento ai data set o linked data, ossia quei dati che sono collegati fra loro e che possono essere letti solo in combinato tra loro.

Ma quindi, cos’è la pseudonimizzazione? Innanzitutto possiamo dire che insieme alla cifratura costituisce il novero delle misure di sicurezza citate nel GDPR. Più nello specifico, è una misura tecnica che presuppone che due dati vengano letti assieme e poi, oscurando uno dei due dati è concesso al titolare del trattamento di usare l’altro.

Definizione di pseudonimizzazione

Il GDPR dà la definizione di pseudonimizzazione all’art. 4 par. 5:

il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.

Dal dettato di questo articolo si evince che attraverso la pseudonimizzazione si realizza una interruzione momentanea e selettiva che dà origine ad un distacco tra il dato e la persona cui esso è riferito. L’identificazione del soggetto rimane possibile, ma solo per via indiretta e solo attraverso passaggi ulteriori.

Ma come si attua in concreto la pseudonimizzazione?

Introducendo una chiave per cifrare il contenuto riferentesi ad un messaggio tra due persone in modo tale che questo non sia leggibile da altri. Sarà quindi oggetto di protezione la chiave che servirà a decifrare il messaggio.

 

Il legame tra privacy by design e pseudonimizzazione

In un precedente articolo avevamo accennato a questo legame. Come abbiamo visto, privacy by design significa che il trattamento prima di metterlo in atto lo dobbiamo pensare. E nel fare questo, dobbiamo capire come proteggere i dati. La pseudonimizzazione, come possiamo capire da quanto detto, è una misura che rientra in questa tipologia di privacy.

Codici di condotta e pseudonimizzazione

I codici di condotta la indicano come una delle misure che il titolare del trattamento deve rendere note, affinché possa dimostrare di essere conforme al GDPR.

 

 

Contattaci subito per un preventivo

7 + 1 =

Call Now Button
Open chat