{"id":2185,"date":"2017-01-16T18:19:22","date_gmt":"2017-01-16T17:19:22","guid":{"rendered":"https:\/\/blog.europrivacy.org\/?p=2185"},"modified":"2017-04-27T18:43:30","modified_gmt":"2017-04-27T16:43:30","slug":"privacy-by-design-which-approach","status":"publish","type":"post","link":"https:\/\/blog.europrivacy.info\/it\/2017\/01\/16\/privacy-by-design-which-approach\/","title":{"rendered":"Privacy by design: quale approccio?"},"content":{"rendered":"<p>Il principio della Privacy by Design introdotto dal Regolamento Europeo in materia di protezione dei dati personali, richiede alle aziende\u00a0ed alla pubblica amministrazione un approccio alla protezione dei dati personali\u00a0proattivo e non pi\u00f9 reattivo, rendendo necessario prevedere modalit\u00e0 operative, configurazioni e misure di sicurezza in grado di salvaguardare la riservatezza, l&#8217;integrit\u00e0 e la disponibilit\u00e0 dei dati personali (RID) \u00a0&#8220;by default&#8221;, ovvero\u00a0nel momento in cui essi &#8220;entrano&#8221; nell&#8217;organizzazione.<\/p>\n<p>Il principio, nella sua enunciazione, appare di\u00a0ovviet\u00e0 e semplicit\u00e0 disarmanti, ma non \u00a0appena si\u00a0entra nel merito ci si rende immediatamente conto che la sua attuazione ha delle implicazioni organizzative, procedurali e tecnologiche non\u00a0 banali.<\/p>\n<p>Un esempio che pu\u00f2 aiutare a capirne la complessit\u00e0 riguarda i processi deputati alla gestione del ciclo di vita delle applicazioni (SLM) che trattano dati personali: per essere conformi al principio della Privacy by Design occorre integrarli, quantomeno,\u00a0con le attivit\u00e0 di:<\/p>\n<ul>\n<li>identificazione del flusso dei dati personali e dei trattamenti a cui saranno sottoposti durante tutto il loro ciclo di vita all&#8217;interno dell&#8217;organizzazione<\/li>\n<li>identificazione puntuale dei requisiti di sicurezza che le applicazioni e l&#8217;infrastruttura tecnologica a supporto devono soddisfare per tutelare la\u00a0RID dei\u00a0dati personali, in qualunque stato\u00a0essi si trovino (in use, in motion, at rest)<\/li>\n<li>definizione degli standard di programmazione che consentano di\u00a0implementare applicazioni esenti da vulnerabilit\u00e0 dovute a tecniche di programmazione non sicure<\/li>\n<li>definizione degli standard architetturali necessari\u00a0a soddisfare i requisiti di sicurezza definiti<\/li>\n<li>definizione delle\u00a0tecniche di mascheramento (o\u00a0similari) dei dati personali qualora se ne preveda l&#8217;utilizzo in ambienti diversi da quello di produzione (test, formazione, &#8230;)<\/li>\n<li>integrazione dei piani di test con le attivit\u00e0 di verifica della corretta implementazione dei requisiti di sicurezza definiti, sia a livello applicativo che infrastrutturale<\/li>\n<li>prevedere delle attivit\u00e0 di test volte a verificare\u00a0l&#8217;efficacia delle misure di sicurezza e degli standard applicativi e architetturali implementati (ethical hacking, penetration test, vulnerability assessment, code review,&#8230;)<\/li>\n<li>&#8230;<\/li>\n<\/ul>\n<p>Ma chi definisce\u00a0i requisiti,\u00a0gli standard,\u00a0le soluzioni tecnologiche\u00a0e sulla base di quali criteri ? E ancora, chi definisce le regole etiche\/comportamentali e le relative sanzioni ?\u00a0Chi\u00a0ha la responsabilit\u00e0 di formare\u00a0il personale\u00a0? Di primo acchito verrebbe da dire: chi altri, se non il DPO ? Certamente il\u00a0DPO ha, semplificando,\u00a0la responsabilit\u00e0 di definire il framework per la protezione dei dati personali, quindi anche del modello per la Privacy by Design, di verificarne la corretta attuazione ed efficacia nel tempo, ma ci\u00f2 non significa che deve operare in completa autonomia, anche perch\u00e8 non potr\u00e0 e non dovr\u00e0 avere approfondite competenze tecniche, legali, organizzative e procedurali funzionali ad una efficace implementazione del principio della Privacy by Default. Tutte le principali funzioni aziendali (Information Security, Risk Management,\u00a0ICT, Legal, Compliance, Organizzazione, HR, Internal Audit,&#8230;), dovranno dare il loro contributo, con il supporto ed il coordinamento del DPO, alla revisione ed integrazione, per quanto di loro competenza,\u00a0dei processi e delle tecnologie in uso al fine di implementare un modello di Privacy by Design definito e condiviso e di garantirne l&#8217;efficacia nel tempo.<\/p>\n<p>Poich\u00e8 il modello per la gestione della Privacy by Default (PbD)\u00a0non pu\u00f2 prescindere dall&#8217;output generato dai processi tipici dei sistemi per la gestione della sicurezza delle informazioni, ne consegue che\u00a0i primi passi da compiere, prima di intervenire sui processi consistono, \u00a0volendo riallacciarci all&#8217;esempio precedente,\u00a0nel definire o rivedere, in ottica PbD, almeno i seguenti processi:<\/p>\n<ul>\n<li>data classification, per la corretta identificazione e classificazione dei dati gestiti dall&#8217;organizzazione, tra cui quelli personali, in tutte le sue possibili declinazioni<\/li>\n<li>risk management, sulla cui base identificare l&#8217;esposizione al rischio dei dati personali e le conseguenti misure organizzative, procedurali e tecnologiche da porre in essere per salvaguardarne la sicurezza. Le misure\u00a0identificate andranno ad alimentare l&#8217;elenco dei requisiti di sicurezza che le applicazioni e le infrastrutture tecnologiche a supporto dovranno soddisfare per tutelare la\u00a0RID del dato personale<\/li>\n<li>Vulnerability management, che, tra l&#8217;altro,\u00a0definisce, sulla base\u00a0della data classification e dell&#8217;analisi del rischio,\u00a0le attivit\u00e0\/analisi da effettuare in fase di test dell&#8217;applicazione al fine di identificare, prima che la stessa\u00a0vada in produzione,\u00a0eventuali vulnerabilit\u00e0 che potrebbero compromettere la sicurezza dei dati personali trattati<\/li>\n<li>Data Masking, per offuscare i dati personali utilizzati in ambienti di test e\/o\u00a0 di training<\/li>\n<li>Hardening, per la definizione ed implementazione\u00a0di configurazioni sicure\u00a0per sistemi ed applicativi che trattano dati personali<\/li>\n<li>Training, per\u00a0formare i tecnici sugli standard di programmazione sicura e\u00a0sulle architetture sicure<\/li>\n<li>Awareness, per sensibilizzare il personale sugli aspetti e le implicazioni inerenti la protezione e la gestione\u00a0dei dati personali<\/li>\n<li>Internal auditing, per integrare il piano di audit ed il framework dei controlli interni al fine di effettuare le necessarie verifiche di efficacia del modello posto in essere<\/li>\n<\/ul>\n<p>Da tale indicativa e non esaustiva elencazione\u00a0di pre-requisiti,\u00a0risulta evidente come l&#8217;implementazione del principio della Privacy by Design sia subordinata alla definizione ed implementazione del framework deputato alla gestione dei dati personali in conformit\u00e0 al GDPR. Ci\u00f2 non significa che la PbD sia da considerarsi solo nelle fasi finali del progetto di readiness al GDPR ma, anzi, occorre tenerla ben presente sin dalla fase di disegno del framework affinch\u00e8 i processi di data classification, risk management, ecc. producano gli output necessari ad una sua corretta ed efficace\u00a0attuazione e gestione nel tempo.<\/p>\n<p>Durante la definizione del modello per la Privacy by Design, ma ancor pi\u00f9 durante la definizione del framework per la conformit\u00e0 al GDPR,\u00a0non dobbiamo dimenticarci che il dato personale va tutelato sempre e comunque, quindi\u00a0anche quando non \u00e8 in formato digitale. Si rende allora necessario estendere quanto detto in riferimento al SLM anche ai processi di gestione documentale al fine di proteggere i dati personali\u00a0riportati nei documenti cartacei.\u00a0A tale scopo occorre prevedere, quantomeno:<\/p>\n<ul>\n<li>la definizione\u00a0di linee guide per la gestione di documenti contenenti informazioni personali (document classification, clean desk, trasmissione dei documenti, secure printing,\u00a0&#8230;)<\/li>\n<li>l&#8217;adozione di schedari, portadocumenti, contenitori, ecc.\u00a0dotati di serratura, per l&#8217;archiviazione sicura dei documenti cartacei riportanti\u00a0dati personali<\/li>\n<li>la rivisitazione delle modalit\u00e0 operative per il trattamento dei dati personali &#8220;analogici&#8221;, al fine di renderle conformi al principio della PbD<\/li>\n<\/ul>\n<p>Infine, stanti le sanzioni previste dal\u00a0GDPR,\u00a0pu\u00f2 rendersi necessario rivedere il sistema sanzionatorio interno, in particolare\u00a0per chi, in violazione al codice etico, alle procedure ed alle policy in essere, dovesse compromettere i dati personali trattati dall&#8217;azienda, siano essi\u00a0digitali od &#8220;analogici&#8221;.<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>","protected":false},"excerpt":{"rendered":"<p>Il principio della Privacy by Design introdotto dal Regolamento Europeo in materia di protezione dei dati personali, richiede alle aziende\u00a0ed alla pubblica amministrazione un approccio alla protezione dei dati personali\u00a0proattivo e non pi\u00f9 reattivo, rendendo necessario prevedere modalit\u00e0 operative, configurazioni e misure di sicurezza in grado di salvaguardare la riservatezza, l&#8217;integrit\u00e0 e la disponibilit\u00e0 dei\u2026 <span class=\"read-more\"><a href=\"https:\/\/blog.europrivacy.info\/it\/2017\/01\/16\/privacy-by-design-which-approach\/\">Leggi tutto &raquo;<\/a><\/span><\/p>\n","protected":false},"author":15,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7],"tags":[21],"class_list":["post-2185","post","type-post","status-publish","format-standard","hentry","category-privacy-by-design","tag-privacy-by-default"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2185","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=2185"}],"version-history":[{"count":22,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2185\/revisions"}],"predecessor-version":[{"id":2780,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2185\/revisions\/2780"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=2185"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=2185"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=2185"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}