Il Regolamento UE 2016/679 (“GDPR”) prevede per le organizzazioni che trattano dati personali l’obbligo di adesione ai requisiti di protezione dei dati by design e by default.
In particolare, al Considerando 78 e all’art. 25 GDPR si stabilisce che i titolari del trattamento prendano in considerazione la protezione dei dati personali per tutto il ciclo di vita dei dati fin dalla progettazione di una nuova operazione di trattamento, progetto o attività (art. 25, par. 1, GDPR), e di default, per impostazione predefinita (art. 25, par. 2, GDPR).
I titolari del trattamento devono quindi effettuare un’analisi di privacy by design e by default del sistema da realizzare, o del processo aziendale da implementare, oppure del servizio da erogare prima che abbia inizio il trattamento, al fine di dimostrare di avere messo in atto misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati.
Gli strumenti di controllo
Il sistema digitale ASG© (Analisi dei Sistemi di Gestione) di somministrazione delle check list di autovalutazione mette a disposizione tre specifici Percorsi di seguito illustrati.
Analisi di software, processi, servizi
- Il Percorso L “Privacy by design-default: obiettivi di trasparenza e intervenibilità” è composto da quattro check list (compilabili per ogni processo/ progetto/ servizio) dedicate alla verifica del rispetto dei requisiti di trasparenza e intervenibilità di un processo, servizio implementato o erogato dall’organizzazione: L.1 – Rispetto dei principi e obiettivo di “intervenibilità”. L.2 – Soddisfazione dei diritti e obiettivo di “intervenibilità”. L.3 – Rispetto dei principi e obiettivo di “trasparenza”. L.4 – Soddisfazione dei diritti e obiettivo di “trasparenza”.
- Il Percorso M “Privacy by design-default: software engineering, non-collegabilità ed altri obiettivi” è composto da tre check list (compilabili per ogni processo/ progetto/ servizio) dedicate alla verifica del rispetto dei requisiti di software engineering e data protection di una soluzione software utilizzata dall’organizzazione: M.1 – Analisi Privacy Engineering del Software. M.2 – Rispetto dei principi e obiettivo di “non collegabilità”. M.3 – Altri obiettivi di privacy e data protection.
Fonti delle informazioni
Le informazioni per la composizione delle domande contenute nelle check list sono state elaborate sulla base delle seguenti norme in materia: 1) gli attributi di qualità nell’ingegneria dei sistemi o Privacy Engineering (PE) dell’Agenzia per Italia Digitale (AgID), 2) gli obiettivi di protezione dell’Agenzia europea per la sicurezza delle reti e dell’informazione del 2014 (ENISA European Network and Information Security Agency), 3) i principi FIPP (Fair Information Practice Principles), 4) le proprietà della sicurezza che sviluppano il principio FIPP di “Integrità/Sicurezza” indicate nella norma ISO, 5) le categorie di alto livello delle minacce LINDDUN, metodologia di analisi delle minacce alla privacy nelle architetture software, 6) le Linee guida 4/2019 sull’articolo 25 sulla protezione dei dati by design e by default adottate il 20 ottobre 2020 dal Comitato europeo per la Protezione dei Dati o EDPB European Data protection Board.
Le check list per le software house
Le software house che producono e distribuiscono applicativi software che trattano dati personali e particolari, o che ne permettono la fruizione in modalità SaaS, si trovano nella condizione di rispettare l’art. 25 del Regolamento UE 2016/679 (“GDPR”) sull’obbligo di adesione ai requisiti di protezione dei dati by design e by default.
Infatti, le organizzazioni che li utilizzano possono essere tenute a richiedere alla software house, in qualità di Responsabile (art. 28), la compliance al Considerando 78 e all’art. 25 del GDPR come una delle garanzie sufficienti affinché il trattamento che svolgono tramite l’applicativo software acquistato o fruito soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell’interessato.
Per soddisfare l’esigenza delle software house il sistema digitale mette a disposizione il Percorso MS “Software utilizzato da terzi (distribuito): privacy by design-default e sicurezza IT”, costituito da cinque check list di autovalutazione (compilabili per ogni applicativo software): M.1 – Analisi Privacy Engineering del Software. M.2 – Rispetto dei principi e obiettivo di “non collegabilità”. M.3 – Altri obiettivi di privacy e data protection. M.4 – Provider software: analisi della sicurezza IT (Software Delivering & Maintenance Security). M.5 – Operatore software (utilizzatore): analisi della sicurezza IT (Software Utilization Security). Le check list M1, M2, M3, che sono riprese dal Percorso M “Privacy by design-default: software engineering, non-collegabilità ed altri obiettivi”, si interessano delle modalità e degli strumenti di sviluppo, delle misure di protezione dei dati gestiti con l’applicativo software; le check list M4 ed M5 si concentrano sulle azioni di sicurezza IT di competenza rispettivamente della software house (provider) e che dell’organizzazione che lo utilizza (operatore).