Privacy by Design
È un po’ come per i criteri antisismici nella costruzione degli edifici: valutarli e attuarli mentre la casa viene costruita è molto più semplice che adeguare tutto successivamente.
Ma quindi se ho un’azienda già avviata cosa devo fare? Chiudere tutto e poi ricominciare con una nuova inglobando subito i principi della Privacy by design?
No, certo che no.
Ma la PbD deve essere assorbita fin nelle fondamenta della ditta.
Mettiamo le cose in chiaro: la privacy è diventata come le tasse e la morte: non si scappa. Va affrontata, e prima e più sistematicamente si fa, meglio è. Per questo la privacy va incorporata nel progetto: è questo il senso della privacy by design. Il concetto “fratello” è quello della privacy by default. Ovvero che la privacy dev’essere l’impostazione di default.
Ad esempio non deve essere obbligatorio compilare un form in cui il conferimento dati è facoltativo. Si parte sempre dalla protezione della privacy. La privacy è al centro. Come sottolineato dal regolamento sul GDPR.
Partendo da questo assunto, possiamo provare a capire concretamente come attuare la privacy by design.
Preparatevi, sarà una lotta, come nel fight club, e proprio come nel fight club, in questo caso abbiamo poche regole, ma molto semplici:
Scordatevi le scene dei film sui nerd anni ‘90 in cui il nostro esperto di privacy e informatica sta nel suo stanzino a digitare milioni di caratteri al secondo occupandosi di risolvere problemi mentre i CEO e gli alti livelli si sfiniscono tra festicciole a base di champagne e orge. Il professionista dell’azienda deve evangelizzare tutto lo staff, dal vertice alla base della piramide.
In altre parole non è sufficiente che chi dirige l’azienda affidi il lavoro a chi sta sotto di lui passando da vassalli, valvassini e valvassori, fino a chi si sporca le mani. Altrimenti la PbD è poco più di un’altra delle tante parole anglosassoni con cui ci riempiamo la bocca durante un tentativo di rimorchio nelle festicciole di cui sopra.
Come coinvolgere: gruppi di discussioni, aggiornamenti, reminder sull’importanza del concetto di privacy, creare un quadro concettuale chiaro a cui tutti possano riferirsi, per esempio “l’Organigramma Privacy”.
Se dovessimo riassumerlo con un semplice programmino basic (oggi ho i nerd in testa), sarebbe:
10 comunicare
20 insegnare
30 goto 10
da questo loop non si esce.
Dall’altra parte chi si occupa di privacy deve conoscere bene il prodotto dell’azienda, le dinamiche e i rapporti tra i vari settori. Deve sforzarsi il più possibile di comprendere a fondo le feature e le potenzialità di ogni prodotto in modo da applicare al meglio le questioni di privacy e renderle un tutt’uno con gli altri processi dell’azienda.
Diciamo che il Privacy by design deve far parte del processo costruttivo di ciò che l’azienda offre.
Immaginatemi con la faccia di Clint Eastwood mentre, nei panni del sergente Gunny, vi ripeto questo mantra: “improvvisare, adattarsi e raggiungere lo scopo”.
Nel GDPR non si improvvisa.
Le regole sono chiare, ma vanno assolutamente adattate alla vostra realtà professionale. I cardini rimangono invariati: tutti devono conoscere l’importanza della privacy e il processo di valutazione dell’impatto della privacy deve coinvolgere tutta l’azienda. Allo stesso modo chi si occupa della privacy deve capire come intervenire al meglio per raggiungere lo scopo. Sapere di quale budget dispone, chi interviene nelle varie fasi (dalla progettazione tecnica fino al rapporto coi clienti), in modo che la privacy sia presente in ogni settore.
Quando il monitoraggio e il trattamento dei dati sono il core business dell’azienda, o avvengono su larga scala, può rendersi necessario incaricare un DPO, il Data Protection Officer, interno o esterno.
