Privacy by Design: come incorporare la protezione dei dati personali nella progettazione dei processi aziendali

News & Partnership

3 Febbraio 2021

Condividi su:
Versione breve 45

Nel 2016 è stato pubblicato il GDPR (General Data Protection Regulation), Regolamento europeo generale per la protezione dati personali, che stabilisce un nuovo approccio alla tutela dei dati degli utenti online e non solo. Qual è la situazione in Italia nel 2021? Quali sono oggi le maggiori sfide che le aziende devono affrontare per garantire il rispetto delle norme in materia di privacy e sicurezza dei dati personali? All’interno di questo articolo parleremo di Privacy by Design, di come attuare in modo corretto il GDPR nel contesto aziendale e della recente partnership di Synesthesia con la società torinese Smart Flow.

Versione completa 1
Condividi su:

Che significa Privacy by Design? Qual è la sua funzione?

Il GDPR stabilisce l’obbligo legale per tutti i Paesi UE di incorporare la protezione dei dati personali nella progettazione, nelle operazioni ICT, nelle infrastrutture tecniche di servizio e nelle pratiche di business.

Oggi per le aziende dover gestire i dati personali dei propri utenti, prevenendo a monte i rischi legati alla loro raccolta e conservazione, è diventata dunque una necessità imprescindibile dell’adozione del principio della Privacy by Design secondo il quale:

“Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati” (Art. 25 co. 1,  GDPR)

Il trattamento e la gestione dei dati: una questione di trasparenza

Il trattamento e la gestione dei dati devono essere sempre “formalizzati”, ovvero chiari e trasparenti per l’utente. Perciò diventa essenziale che i gestori assicurino sempre e in modo automatico la protezione dei dati personali in tutti i sistemi IT di propria competenza o nelle attività di business, senza alcuna necessità di azioni da parte dei titolari. 

Deve essere garantita la sicurezza durante l’intero ciclo di vita delle informazioni: tutti i dati raccolti devono essere conservati, aggiornati e distrutti, qualora non più necessari, secondo i principi previsti dal GDPR. Nell’ambito di una struttura societaria, inoltre, è obbligatorio garantire agli azionisti che le pratiche di business, così come le tecnologie a supporto, operino secondo gli obiettivi di trasparenza e siano soggette a verifiche indipendenti. 

L’interesse dell’utente sempre al centro della PbD

All’interno di questo modello i concetti di privacy e sicurezza hanno entrambi la stessa importanza. Un approccio vincente in materia di privacy e trattamento dati personali è sicuramente quello utente-centrico: gli interessi individuali supportati da procedimenti di protezione dati e un’informativa semplice e chiara sono ingredienti essenziali per trasmettere al proprio pubblico un sentore di fiducia e sicurezza e agire nel rispetto della regolamentazione europea.

Le fasi di assessment, costruzione e mantenimento della PbD aziendale

Il principio della Privacy by Design richiede alcuni importanti passaggi per poter essere attuato efficacemente e raggiungere i risultati sperati. Le fasi principali consistono in: 

  1. valutazione PbD su sistemi, app, servizi;
  2. rilevazione GAP;
  3. copertura GAP rilevati; 
  4.  audit periodico per l’aggiornamento e il mantenimento della PbD.

Chi sono i destinatari principali della norma?

Il GDPR si rivolge a tutte le aziende che a qualunque titolo, raccolgono, gestiscono o trattano dati personali. In questo senso quindi ogni azienda è soggetta al regolamento, ma alcune  categorie devono prestare maggiore attenzione agli adempimenti, in particolare: 

  • fornitori di servizi telco/hosting;
  • web agency;
  • help desk diretti o per conto di terzi;
  • fornitori di servizi informatici (app mobile, web, software).

In conclusione

La compliance Privacy e il rispetto delle normative europee è al centro del nostro modo di operare. Per questo motivo Synesthesia collabora con Smart Flow, società torinese che offre a grandi aziende, PMI, Pubblica Amministrazione e professionisti le competenze organizzative, tecniche e legali per indirizzare e mantenere la compliance al GDPR. 

Se hai domande o feedback, scrivici. Saremo contenti di leggere le tue richieste o le tue opinioni.

Contattaci

Immagineremo insieme il tuo progetto

Lo realizzeremo con amore e passione
Il nostro team è a tua disposizione

Iscriviti alla nostra
newsletter

Il modo migliore per rimanere in contatto con noi

Privacy Policy