Quando trattano i dati personali, le organizzazioni devono garantire che il loro trattamento rispetti i principi della protezione dei dati fin dalla progettazione e della protezione dei dati per impostazione predefinita .
Abbiamo precedentemente spiegato in merito alla protezione dei dati per impostazione predefinita ( protezione dei dati per impostazione predefinita ). Questo principio fa sì che le tecnologie siano progettate in modo tale che, fin dall’inizio, i dati dell’utente siano trattati solo al minimo e solo quanto necessario, senza richiedere all’utente di adottare misure particolari per proteggere la sua privacy .
Questa volta, invece, ci concentreremo sulla protezione integrata dei dati (protezione dei dati fin dalla progettazione), ovvero un approccio volto a garantire un trattamento legale e sicuro dei dati personali fin dalla fase di pianificazione e sviluppo del sistema, servizio o processo. Questo approccio presuppone che le misure tecniche e organizzative siano implementate durante tutto il ciclo di vita del trattamento per proteggere i dati personali, soddisfare i requisiti stabiliti per l’organizzazione come titolare del trattamento e garantire il rispetto dei diritti di una persona in qualità di interessato. Pertanto, la protezione della privacy è integrata fin dall’inizio nei sistemi informativi, nei servizi e nelle infrastrutture di rete, anticipando e prevenendo in tempo potenziali minacce alla privacy.
Nello sviluppo dell’app fitness di Jāņas Datiņš, ad esempio, sono state implementate già in fase di progettazione soluzioni che garantiscono la sicurezza e la protezione dei dati degli utenti. L’app richiede solo i dati necessari, come età e obiettivi desiderati, e cancella automaticamente le informazioni se non vengono utilizzate per un certo periodo di tempo. Per prevenire potenziali rischi per la privacy, è stata utilizzata la crittografia dei dati e sono stati eseguiti test per identificare ed eliminare in tempo le vulnerabilità del sistema. Tali misure garantiscono la protezione dei dati fin dall’inizio dello sviluppo, rendendo il trattamento sicuro e legale.
In un senso più ampio, tali misure includono qualsiasi metodo o mezzo che un’organizzazione può applicare nel processo di elaborazione dei dati. Questi possono includere, ad esempio:
- pseudonimizzazione dei dati;
- la possibilità per le persone (interessati) di controllare il trattamento dei propri dati;
- implementazione di sistemi di rilevamento malware;
- formazione dei dipendenti sulle basi dell’igiene informatica;
- stabilire sistemi di gestione della privacy e della sicurezza delle informazioni;
- determinazione degli obblighi contrattuali per gli incaricati del trattamento.
L’approccio integrato alla protezione dei dati è caratterizzato da:
- Implementazione (incorporazione) di misure relative alla protezione dei dati personali già nella fase di pianificazione del trattamento dei dati personali e di sviluppo degli strumenti, rendendole parte integrante del trattamento. Ad esempio, il sistema di elaborazione dei dati incorpora già una funzione che cancella automaticamente i dati personali allo scadere del periodo di conservazione.
- Integrando misure di protezione nel trattamento, si promuove la valutazione prematura e la prevenzione dei rischi del trattamento, senza attendere la loro soluzione fino al momento in cui si verificano. Ad esempio, prima che il sistema venga utilizzato, la sua sicurezza viene testata eseguendo test di penetrazione per garantire che non vi siano rischi di fuga di dati.
- Vengono applicate misure sia tecniche che organizzative per garantire il rispetto dei requisiti di protezione dei dati nel processo di trattamento. Ad esempio, in azienda, prima dell’inizio del trattamento, viene assicurata sia la conformità del software utilizzato nel trattamento, sia viene effettuata la formazione del personale sul trattamento sicuro dei dati.
Efficienza
L’efficienza è al centro del concetto di protezione integrata dei dati. Ciascuna misura implementata deve fornire i risultati attesi per il trattamento previsto dal titolare del trattamento. Non ci sono misure specifiche che le organizzazioni devono adottare. Dovrebbero essere adattati a ciascun trattamento specifico, tenendo conto dei possibili rischi di compromissione della privacy.
Quando dovrebbe essere implementata la protezione integrata dei dati?
È importante che le organizzazioni affrontino la protezione dei dati in una fase iniziale quando pianificano nuove attività di trattamento e definiscono i mezzi. Tuttavia, le misure di protezione dei dati devono essere mantenute e valutate regolarmente durante tutto il trattamento per garantire che siano ancora efficaci.
Il momento di determinazione dei mezzi del trattamento è la fase in cui il titolare del trattamento decide come avverrà il trattamento e i meccanismi che verranno utilizzati. Comprende i tempi di sviluppo, acquisizione e implementazione di software, hardware e servizi di elaborazione dati.
Nel processo di assunzione di tali decisioni, l’organizzazione deve valutare le misure e le garanzie adeguate per attuare efficacemente i principi e i diritti degli interessati nel processo di trattamento. Dovrebbero essere presi in considerazione anche elementi quali lo stato dell’arte, i costi di attuazione, la natura, l’entità, il contesto e lo scopo, nonché i rischi.
Integrità significa che il titolare del trattamento valuta i possibili rischi prima di iniziare il trattamento dei dati e adegua in anticipo gli obiettivi del trattamento e i mezzi per prevenirli.
Ciò garantisce che il trattamento dei dati sia avviato ed effettuato in conformità con le disposizioni normative. L’inclusione tempestiva di misure di protezione dei dati è vantaggiosa anche dal punto di vista dei costi, poiché modifiche successive ai processi di trattamento già stabiliti possono essere problematiche e costose.
Durante il trattamento (manutenzione e revisione dei requisiti di protezione dei dati)
Dopo l’inizio del trattamento, le organizzazioni hanno ancora l’obbligo di monitorare se le misure di protezione dei dati incluse nel trattamento da loro eseguite funzionano e adempiono alla loro funzione in base allo scopo dell’attuazione. Allo stesso modo, la natura, la portata e il contesto delle attività di trattamento, nonché il rischio, possono cambiare nel corso del trattamento. Ciò significa che l’organizzazione deve rivalutare le proprie attività di trattamento rivedendo e valutando regolarmente l’efficacia delle misure scelte.
https://www.dvi.gov.lv/lv/jaunums/dviskaidro-kas-ir-integreta-datu-aizsardziba