Il 31 gennaio 2023, l’International Standards Organization (ISO) ha pubblicato un nuovo standard, ISO 31700-1:2023, sulla Privacy by Design per i beni e i servizi di consumo. Il concetto di Privacy by Design (PbD) è stato introdotto nel 1995 dall’Information and Privacy Commissioner dell’Ontario, in Canada, con l’obiettivo di integrare la privacy nei prodotti, nei servizi e nei sistemi per impostazione predefinita.
Oggi il PbD è un requisito legale previsto da molte importanti normative sulla privacy in tutto il mondo, tra cui il Regolamento generale sulla protezione dei dati (GDPR).
Quali sono i principi della Privacy by Design?
La Privacy by Design prevede sette linee guida che le aziende devono tenere a mente durante il processo di progettazione.
Proattivo non reattivo; preventivo non correttivo
Invece di reagire ai rischi o alle violazioni della privacy quando si verificano, le aziende costruiranno attivamente processi e procedure per evitare che si verifichino in primo luogo.
La privacy come impostazione predefinita
Quando si naviga in un sito web o si accede a un’applicazione o a un software, l’ultima preoccupazione di un utente dovrebbe essere la sua privacy. La privacy come impostazione predefinita significa che gli utenti ricevono automaticamente il massimo livello di protezione dei dati durante tutta la loro esperienza.
Ciò include concetti quali la limitazione della raccolta e la minimizzazione dei dati, che prevedono la raccolta e l’archiviazione della quantità minima di dati necessaria.
Privacy integrata nel design
La privacy non dovrebbe essere qualcosa da aggiungere a un prodotto o servizio dopo che è stato progettato, ma deve far parte del processo di sviluppo, con ogni fase di progettazione che tenga conto dei controlli sulla privacy degli utenti.
Funzionalità completa: somma positiva, non somma zero
L’integrazione della privacy nell’esperienza utente di un prodotto o servizio non è un gioco a somma zero. In altre parole, le pratiche di privacy-first non devono andare a scapito dell’esperienza dell’utente, anzi, la migliorano.
Sicurezza end-to-end – Protezione del ciclo di vita
Dal momento in cui la vostra azienda raccoglie i dati degli utenti fino al momento in cui vengono eliminati, una parte fondamentale del PbD è garantire che questi dati siano sicuri in ogni fase del ciclo di vita dei dati.
Visibilità e trasparenza – Mantenere la trasparenza
I vostri utenti non dovrebbero mai essere all’oscuro di come trattate i loro dati. La trasparenza porta alla fiducia e questo percorso è reso possibile da una documentazione e una comunicazione chiare.
Rispetto della privacy degli utenti – Mantenere la centralità dell’utente
La migliore esperienza utente mette la privacy al primo posto e rispetta gli interessi dell’utente. Ciò avviene fornendo il controllo su come vengono utilizzati i loro dati e ottenendo un feedback lungo tutto il percorso.
Privacy by Design nelle normative di tutto il mondo
Dato che i principi di cui abbiamo parlato costituiscono un framework naturale che le aziende devono seguire per garantire che la privacy degli utenti sia parte integrante del loro modello di business, non sorprende che questi principi siano stati inseriti in molte importanti normative sulla privacy in tutto il mondo.
Europa – GDPR
L’articolo 25 del GDPR è intitolato “Protezione dei dati fin dalla progettazione e per impostazione predefinita” e stabilisce che i responsabili del trattamento dei dati sono tenuti ad attuare “misure tecniche e organizzative adeguate” per garantire la sicurezza dei dati e il rispetto dei diritti alla privacy. Anche il GPDR del Regno Unito prevede la stessa misura.
Stati Uniti – Legge sulla protezione dei consumatori della California (CCPA), modificata dalla Proposizione 24
Il CCPA, così come modificato, enfatizza le pratiche di privacy by design, con specifiche indicazioni per le aziende che devono incorporare la privacy nella progettazione dei loro processi e sistemi informatici. Obblighi come un chiaro link per gli utenti per rinunciare alla vendita o alla condivisione dei loro dati, un’opzione per gli utenti per limitare l’uso delle loro informazioni personali sensibili e un’attenzione alla minimizzazione dei dati sono tutti punti di riferimento per le pratiche di privacy by design.
Brasile – Lei Geral de Protecao de Dados (LGPD)
La LGPD in Brasile richiede alle aziende di progettare i processi e i sistemi di trattamento dei dati tenendo conto della privacy come “impostazione predefinita”. Le imprese devono inoltre essere in grado di dimostrare all’ANPD, l’ente di controllo brasiliano, come la privacy sia stata incorporata nella progettazione del prodotto o del servizio.
Standard ISO PbD
Il nuovo standard ISO sulla privacy by design comprende due parti.
ISO 31700-1:2023: Requisiti di alto livello per la privacy by design
ISO 31700-2:2023: Casi d’uso per aiutare a comprendere questi requisit
Vengono delineati tre principi guida per sfruttare i vantaggi della PbD.
Responsabilizzazione e trasparenza
Ciò significa promuovere una più ampia adozione di un design consapevole della privacy, guadagnare la fiducia dei consumatori e soddisfare il loro bisogno di una solida protezione della privacy e dei dati.
Istituzionalizzazione e responsabilità
Significa integrare la prospettiva del consumatore, il suo impegno comportamentale e le sue esigenze fin dalle prime fasi del processo del ciclo di vita del prodotto e rispettarlo per tutto il tempo. Ciò promuove la coerenza nelle decisioni sulla privacy dei clienti e, di conseguenza, contribuisce a dimostrare l’impegno della leadership nei confronti della PbD.
Ecosistema e ciclo di vita
L’approccio PbD può essere applicato a ecosistemi informativi più ampi che combinano tecnologie e organizzazioni. Questo approccio olistico considera tutte le fasi del ciclo di vita del prodotto e supporta approcci iterativi allo sviluppo del prodotto, con miglioramenti implementati molto tempo dopo la fase di progettazione iniziale.
Sulla base di questi principi guida, lo standard si concentra sul modo in cui le organizzazioni possono eseguire le fasi seguenti per rendere operativo il PbD in modo efficace.
- Considerare i diversi cicli di vita delle PII dei consumatori e dei prodotti/servizi.
Affinché gli sforzi di PbD abbiano successo, i designer devono tenere conto di entrambi i cicli di vita.
- Fare riferimento alla norma ISO/IEC 27701 e al NIST Privacy Framework.
Le organizzazioni devono seguire un sistema di gestione delle informazioni sulla privacy.
- Progettare funzionalità che consentano ai consumatori di esercitare i loro diritti alla privacy.
Determinare le preferenze dei consumatori in materia di privacy e fornire loro il controllo e la scelta (ad esempio, attraverso un centro di preferenze, una piattaforma di gestione del consenso)
- Garantire la responsabilità della PbD.
Assicuratevi di porre le seguenti domande alla vostra azienda.- Il PbD è distribuito accuratamente all’interno dell’organizzazione?
- Le competenze chiave sono rappresentate?
- Le pratiche di sensibilizzazione, condivisione delle conoscenze e formazione sugli elementi operativi della PbD sono sufficienti?
- Predisporre una comunicazione trasparente e aggiornata con i consumatori.
Predisporre una comunicazione trasparente e aggiornata con i consumatori.
Assicuratevi che i consumatori sappiano che possono configurare le impostazioni sulla privacy in base alle loro preferenze. Lo standard sottolinea anche come le organizzazioni debbano essere consapevoli della diversità della loro popolazione di consumatori. Ciò significa che le diverse fasce d’età, i livelli di alfabetizzazione tecnologica e l’accesso alla tecnologia devono essere considerati e riflessi nella progettazione del prodotto/servizio e nella relativa documentazione e comunicazione.Condurre PIA quando richiesto.
Questo sia come strumento di PbD sia per gestire i rischi per la privacy.Integrare i controlli sulla privacy in tutte le operazioni aziendali e nel ciclo di vita del prodotto.
Lo standard spiega come raggiungere questi obiettivi per aiutare l’organizzazione a prepararsi al successo della PbD.
Oltre a queste misure focalizzate sulla PbD che lo standard ISO copre principalmente, tocca anche altri requisiti che sono comunemente coperti come obblighi più ampi di conformità alla privacy, tra cui la gestione dei fornitori, la progettazione della resilienza della cybersecurity e la comunicazione delle violazioni dei dati PII.
Nell’affrontare il tema della PbD, lo standard non si limita a menzionare la possibilità di gravi conseguenze per un individuo nel caso di dati personali compromessi, ma anche il danno che la conseguente perdita di fiducia avrà sull’organizzazione.
Come può aiutare OneTrust
L’implementazione della Privacy by Design per la vostra organizzazione può sembrare un compito scoraggiante all’inizio.
OneTrust può aiutare la vostra organizzazione a incorporare il PbD nei suoi processi consolidando le informazioni provenienti dagli stakeholder interni ed esterni per fornire una visione completa di come vengono raccolti i dati, dello scopo per cui vengono utilizzati, di dove si trovano i dati, dei rischi potenziali e di quali protezioni sono in atto. Gli utenti possono valutare, tracciare e riportare i rischi per la privacy su asset, fornitori, attività di elaborazione per progetti o prodotti.
Distribuite il nostro modello Privacy by Design in strumenti aziendali come Jira, in modo che gli stakeholder possano contribuire con informazioni tecniche e contestuali quando sono più rilevanti, con OneTrust PIA e DPIA Automation. Con l’analisi in tempo reale, potete dimostrare la conformità alle normative sulla privacy e al tempo stesso il valore del vostro programma sulla privacy agli stakeholder interessati.
Scoprite come OneTrust può aiutarvi nel percorso verso la Privacy by Design con una demo gratuita oggi stesso.
