Privacy by design: adozione della ISO 31700

In data 8 febbraio 2023, l’International Organization for Standardization[1] (“ISO”) adotterà lo standard ISO 31700, che fornisce a tutti i titolari del trattamento requisiti e indicazioni sulle corrette modalità di implementazione del principio di privacy by design.

Privacy by design

Il principio di privacy by design, unitamente a quello di privacy by default, viene introdotto dall’art. 25 del Regolamento (UE) 2016/679 ("GDPR"). Tale principio impone ai titolari del trattamento l’obbligo, fin dalla progettazione, di mettere in atto misure tecniche e organizzative adeguate volte ad attuare in modo efficace i principi di protezione dei dati personali. In particolare, si tratta di ridurre al minimo il trattamento di dati personali, mediante specifiche misure tecniche e organizzative (ad es. attraverso la pseudonimizzazione).

Il concetto di privacy by design è stato, tuttavia, coniato, prima dell’entrata in vigore del GDPR, da Ann Cavoukian, privacy commissioner canadese, verso la fine degli anni ’90.

Lo scopo della Cavoukian era quello di garantire che la privacy fosse tenuta in considerazione durante l’intero processo di sviluppo di nuove tecnologie e prodotti, a partire dalla progettazione, e non soltanto in una fase successiva alla stessa.

In particolare, il concetto era stato coniato e sviluppato a seguito di un aumento della quantità di dati personali raccolti, conservati e comunicati da parte degli enti e delle società, nonché in conseguenza dell’incremento di episodi di data breach e violazioni della normativa in materia di protezione dei dati personali.

I principi su cui si basa la privacy by design sono i seguenti:

1. valutazione dei rischi a partire dalla fase di progettazione, prevenendo il verificarsi degli stessi e non correggendo, successivamente, eventuali violazioni della privacy;
2. privacy come impostazione predefinita, in modo tale che la tutela dei dati personali sia impostata by default in qualsiasi prodotto, servizio o pratica commerciale;
3. privacy incorporata nel progetto tramite specifiche misure tecniche e organizzative (ad es. attraverso la pseudonimizzazione o la minimizzazione dei dati sin dalla fase di progettazione);
4. massima funzionalità, in modo da rispettare tutte le esigenze;
5. sicurezza e protezione dei dati durante tutto il ciclo di vita del prodotto o servizio;
6. visibilità e trasparenza di tutto il processo di trattamento dei dati personali;
7. centralità dell'utente e, conseguentemente, rispetto dei suoi diritti, nonché tempestività e chiarezza nel rispondere alle richieste dello stesso.

Adozione della ISO 31700

L’ISO 31700 è un nuovo standard internazionale per la protezione dei dati personali costituito da linee guida che possono essere tenute in considerazione e seguite da qualsiasi tipo di organizzazione o società, a seconda delle esigenze specifiche (ad es. multinazionali, ma anche PMI e startup).

Tale standard offre indicazioni e raccomandazioni nel processo di gestione dei rischi per la privacy e nella progettazione della struttura di gestione degli stessi all'interno delle organizzazioni.

Lo standard ISO 31700 contiene 30 requisiti, nonché indicazioni generali su come implementare il principio di privacy by design, quali:

1. progettazione di funzionalità che consentano ai consumatori di far valere i propri diritti alla protezione dei dati personali;
2. sviluppo di funzionalità che consentano di determinare le preferenze dei consumatori in materia di protezione dei dati personali;
3. assegnazione di ruoli alle autorità competenti;
4. individuazione di responsabilità multifunzionali;
5. sviluppo di know-how, competenze e capacità in materia di protezione dei dati personali;
6. gestione della documentazione e delle informazioni;
7. requisiti per la comunicazione con i consumatori (i.e. fornire ai consumatori informazioni sulla privacy, individuare i soggetti responsabili nel fornire tali informazioni, rispondere alle richieste e ai reclami dei consumatori stessi, predisporre comunicazioni diverse in base alle differenti fasce di consumatori, predisporre specifiche comunicazioni in caso di data breach);
8. requisiti di gestione del rischio (i.e. condurre privacy risk assessment, valutare le funzionalità di terze parti in materia di privacy, stabilire e documentare i requisiti per i controlli sulla privacy, monitorare e aggiornare la valutazione del rischio, includere i rischi per la privacy nella progettazione della resilienza della cybersecurity);
9. sviluppo, implementazione e gestione dei controlli sulla privacy (i.e. integrare la progettazione e l’operatività dei controlli sulla privacy nel processo di sviluppo e gestione del prodotto, progettare e implementare i controlli sulla privacy, progettare le fasi di test, gestire la migrazione, gestire l’operatività, prevenire e gestire le violazioni della privacy, gestire per l’intero ciclo di vita dei dati i controlli sulla privacy per i processi e i prodotti da cui dipende il prodotto in esame);
10. requisiti per la cessazione dell’utilizzo dei dati (i.e. progettare i controlli sulla privacy in caso di dismissione e termine di utilizzo dei dati).

Il testo della ISO 31700 è disponibile, in lingua inglese, qui.

[1] L’ISO è un’organizzazione mondiale che definisce standard e norme tecniche. Essa svolge funzioni consultive per l'UNESCO e per l'ONU. L’ISO è composto da 167 organismi nazionali di standardizzazione. Ad oggi, l’ISO ha adottato più di 24.000 standard, tra cui l'ISO 27001 che descrive le best practice per i sistemi di gestione della sicurezza delle informazioni.