Privacy by design e by default: un approccio concreto alla protezione dei dati

tratto da Cybersecurity360

La cosiddetta “Privacy Engineering”, riveste oggi un ruolo determinante perché in grado di determinare per tutti i servizi e applicativi utilizzati nella quotidianità ma anche a livello più sofisticato aziendale il tipo e l’efficacia dell’incorporazione dei requisiti di riservatezza nella progettazione, a monte, e nel funzionamento, a valle, dei sistemi di informazione.

Nel documento di linee guida dell’ENISA (European Network and Information Security Agency), “Recommendations on shaping technology according to GDPR provisions_Exploring the notion of data protection by default”, pubblicato il 28 gennaio 2019, fa luce sulle scelte delle impostazioni predefinite che devono essere tenute in considerazione nell’ingegneria del software per garantire un adeguato livello di protezione dei dati personali, in conformità alle previsioni del GDPR. In particolare vi è un riferimento ad alcune best practice per l’impostazione dei valori predefiniti indicando alcuni esempi concreti per ciascuna delle 4 aree di misure citate dall’art. 25 del GDPR:

  • quantità minima di dati personali;
  • estensione minima del trattamento di dati personali;
  • minimo periodo di conservazione dei dati personali;
  • accessibilità minima dei dati personali.

Tali indicazioni, chiarisce l’ENISA, possono essere prese in considerazione per innalzare il livello di attenzione sulle specifiche casistiche ma non dovrebbero essere considerate una “valutazione legale di legittimità” nella scelta delle impostazioni predefinite migliori da adottare che andrà valutata, comunque, caso per caso.

Il documento nell’introduzione ribadisce come il concetto della privacy by default non sia un concetto nuovo, poiché gli sviluppatori si sono sempre occupati di valutare le adeguate pre-settings (ossia preimpostazioni) nella fase di progettazione, tuttavia il documento sottolinea come i pre-settings sono stati largamente considerati sotto il profilo della sicurezza mentre risulta un approccio meno standard e in ambito data protection.

L’obiettivo del documento, corredato da esempi pratici, è quello di rafforzare una della finalità del GDPR, ovvero di garantire una maggiore equità nel trattamento dei dati personali, bilanciando le scelte di business, di sicurezza e di protezione dei soggetti interessati (nella accezione di consumatori o utenti).

leggi l’articolo completo