Il Regolamento UE 2016/679 (“GDPR”) prevede per le organizzazioni che trattano dati personali l’obbligo di adesione ai requisiti di protezione dei dati by design e by default.
In particolare, al Considerando 78 e all’art. 25 GDPR si stabilisce che i titolari del trattamento prendano in considerazione la protezione dei dati personali per tutto il ciclo di vita dei dati fin dalla progettazione di una nuova operazione di trattamento, progetto o attività (art. 25, par. 1, GDPR), e di default, per impostazione predefinita (art. 25, par. 2, GDPR).
I titolari del trattamento devono quindi effettuare un’analisi di privacy by design e by default del sistema da realizzare e/o del processo aziendale e/o del servizio da erogare prima che abbia inizio il trattamento, per dimostrare di avere le misure e le garanzie appropriate per assicurare che i principi di protezione dei dati.
La nostra piattaforma digitale, sviluppata in collaborazione con MSA di Luigi Zampetti e SIET di Sergio Spera accessibile a questo link, mette a disposizione la nuova versione delle check list di autovalutazione, raggruppate in percorsi.
Il percorso L “Privacy by design-default: obiettivi di trasparenza e intervenibilità” è composto da quattro check list (compilabili per ogni processo/ progetto/ servizio) dedicate alla verifica del rispetto dei requisiti di trasparenza e intervenibilità di un processo, servizio implementato o erogato dall’organizzazione:
L.1 – Rispetto dei principi e obiettivo di “intervenibilità”. L.2 – Soddisfazione dei diritti e obiettivo di “intervenibilità”. L.3 – Rispetto dei principi e obiettivo di “trasparenza”. L.4 – Soddisfazione dei diritti e obiettivo di “trasparenza”.
Il percorso M “Privacy by design-default: software engineering, non-collegabilità ed altri obiettivi” è composto da tre check list (compilabili per ogni processo/ progetto/ servizio) dedicate alla verifica del rispetto dei requisiti di software engineering e data protection di una soluzione software utilizzata dall’organizzazione:
M.1 – Analisi Privacy Engineering del Software. M.2 – Rispetto dei principi e obiettivo di “non collegabilità”. M.3 – Altri obiettivi di privacy e data protection.
Le domande che compongono le sette check list dei due percorsi sono riferibili a:
- gli attributi di qualità nell’ingegneria dei sistemi o Privacy Engineering (PE) dell’Agenzia per Italia Digitale (AgID)
- gli obiettivi di protezione dell’Agenzia europea per la sicurezza delle reti e dell’informazione del 2014 (ENISA European Network and Information Security Agency)
- i principi FIPP (Fair Information Practice Principles)
- le proprietà della sicurezza che sviluppano il principio FIPP di “Integrità/Sicurezza” indicate nella norma ISO
- le categorie di alto livello delle minacce LINDDUN, metodologia di analisi delle minacce alla privacy nelle architetture software
- le Linee guida 4/2019 sull’articolo 25 sulla protezione dei dati by design e by default adottate il 20 ottobre 2020 dal Comitato europeo per la Protezione dei Dati o EDPB European Data protection Board.
Le check list per le software house
Le software house che producono e distribuiscono applicativi software che trattano dati personali e particolari, o che ne permettono la fruizione in modalità SaaS, si trovano nella condizione di rispettare l’art. 25 del Regolamento UE 2016/679 (“GDPR”) sull’obbligo di adesione ai requisiti di protezione dei dati by design e by default.
Infatti, le organizzazioni che li utilizzano possono essere tenute a richiedere alla software house, in qualità di Responsabile (art. 28), la compliance al Considerando 78 e all’art. 25 del GDPR come una delle garanzie sufficienti affinché il trattamento che svolgono tramite l’applicativo software acquistato o fruito soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell’interessato.
Per questo abbiamo realizzato il percorso MS “Software utilizzato da terzi (distribuito): privacy by design-default e sicurezza IT”, costituito da cinque check list di autovalutazione (compilabili per ogni applicativo software):
M.1 – Analisi Privacy Engineering del Software. M.2 – Rispetto dei principi e obiettivo di “non collegabilità”. M.3 – Altri obiettivi di privacy e data protection. M.4 – Provider software: analisi della sicurezza IT (Software Delivering & Maintenance Security). M.5 – Operatore software (utilizzatore): analisi della sicurezza IT (Software Utilization Security).
Mentre le check list M1, M2, M3, riprese dal Percorso M “Privacy by design-default: software engineering, non-collegabilità ed altri obiettivi”, si interessano delle modalità e degli strumenti di sviluppo, delle misure di protezione dei dati gestiti con l’applicativo software, le check list M4 ed M5 si concentrano sulle azioni di sicurezza IT di competenza sia della software house e che dell’organizzazione che lo utilizza.