Il Regolamento 2016/679 (GDPR) è il regolamento europeo che stabilisce le norme sulla protezione dei dati personali e le linee guida da adottare per rendere la propria organizzazione compliant.
Diverse organizzazioni raccolgono grandi quantità di dati personali degli utenti, ma non sempre garantisco una corretta tutela delle informazioni che gestiscono.
Tra i principi su cui si fonda il GDPR, da poche settimane l’International Organization for Standardization ha adottato la ISO31700:2023, norma utile a rendere applicabile il concetto del principio di Privacy by DesignPrincipio che stabilisce che la protezione dei dati debba es..., secondo cui vi è l’obbligo di adottare misure tecnico-organizzativo che assicurino la tutela dei dati personali in ogni fase del trattamento, sin dalla sua progettazione. Come per molteplici settori di beni e servizi, sono presenti alcuni elementi da considerare per sviluppare un’applicazione software che sia conforme al GDPR:
Il consenso
Il consenso dell’utente potrebbe essere essenziale per la raccolta e il trattamento dei dati personali per svolgere specifiche attività nel rispetto del GDPR. Il soggetto deve essere a conoscenza di un’informativa che chiarisca come i dati vengono raccolti e per quali scopi. Ad esempio, un sito web di e-commerce dovrebbe richiedere il consenso dell’utente per l’invio di newsletter o promozioni tramite e-mail, con una casella di spunta che l’utente può selezionare per acconsentire alla modalità del trattamento (il nostro articolo sul rischio di inviare newsletter senza consenso privacy).
I diritti dell’interessato
L’utente ha il diritto di accedere ai propri dati personali, di richiederne la correzione o la cancellazione, nonché di opporsi al trattamento. L’applicazione software deve fornire all’utente un modo semplice ed efficace per esercitare questi diritti. Ad esempio, un social network dovrebbe fornire una sezione di impostazioni dell’account in cui l’utente può accedere ai propri dati personali, come nome, foto e informazioni di contatto, e modificarli o cancellarli in qualsiasi momento.
La sicurezza dei dati
L’applicazione software dovrebbe adottare misure tecniche, organizzative e di cybersecurity per proteggere i dati personali dall’accesso non autorizzato, come la crittografia, la gestione delle password e l’accesso limitato ai dati solo per il personale autorizzato. Ad esempio, un sito web di servizi finanziari potrebbe utilizzare una connessione HTTPS sicura per proteggere le informazioni dell’utente durante la trasmissione. Oppure, nel caso di un’applicazione mobile di messaggistica, si dovrebbe utilizzare la crittografia end-to-end per proteggere i messaggi degli utenti.
Il trasferimento di dati
Se l’applicazione prevede il trasferimento di dati personali al di fuori dell’UE, è opportuno adottare misure appropriate per garantire che i dati siano protetti in modo adeguato. Ad esempio, un sito web di servizi cloud potrebbe utilizzare le clausole contrattuali per garantire la protezione dei dati personali degli utenti in caso di trasferimento verso un paese terzo.
La responsabilità del titolare del trattamento
L’applicazione software dovrebbe designare un responsabile del trattamento che garantisca la conformità al GDPR e il rispetto dei diritti dell’interessato. Inoltre, potrebbe essere opportuna la designazione di un Responsabile della Protezione dei Dati (DPO), in particolare quando l’applicazione possa comportare il monitoraggio regolare e sistematico degli interessati su larga scala (il DPO ha il compito, tra gli altri, di monitorare il trattamento dei dati personali degli utenti, di fornire supporto al titolare in caso di richieste di accesso, correzione o cancellazione dei dati personali nonché di fungere da punto di contatto con l’interessato).
La valutazione dell’impatto sulla privacy
Se l’applicazione comporta un rischio elevato per i diritti e le libertà dell’interessato, è opportuno effettuare una valutazione d’impatto sulla privacy (DPIA). Ad esempio, un sito web di servizi sanitari potrebbe essere oggetto di valutazione per verificare i rischi sulla privacy e per garantire che i dati particolari dei pazienti, come le informazioni sulla salute, siano protetti in modo adeguato. Oppure, nel caso di un’applicazione mobile che utilizza il riconoscimento facciale, si potrebbe effettuare una valutazione per garantire che l’elaborazione dei dati biometrici degli utenti siano trattati nei limiti della normativa.
La notifica delle violazioni dei dati
In caso di violazione dei dati personali (CD. data breach), il titolare del trattamento potrebbe dover notificare il data breach all’autorità di controlloautorità pubblica indipendente istituita da uno Stato membr... competente entro 72 ore dalla scoperta della violazione e, in determinate circostanze, comunicare la violazione all’interessato senza ingiustificato ritardo. Se necessaria, la notifica deve fornire informazioni sulla natura della violazione e sulle misure adottate per risolverla. Ad esempio, un sito web di e-commerce potrebbe dover notificare una violazione dei dati personali degli utenti all’autorità di controlloautorità pubblica indipendente istituita da uno Stato membr... competente e agli utenti interessati, fornendo informazioni sulla natura della violazione e sulle misure adottate per proteggere i dati raccolti, qualora siano stati violati gli account degli utenti iscritti, con esposizione dei loro dati personali.
La conservazione dei dati
I dati personali devono essere conservati solo per il tempo necessario per il raggiungimento degli scopi per cui sono stati raccolti. Ad esempio, un sito web di e-commerce potrebbe conservare i dati degli utenti per il tempo necessario per elaborare gli ordini e gestire i resi oltre che per gli obblighi contrattuali e normativi che ne conseguono. Oppure, un’applicazione mobile di social network potrebbe conservare i dati degli utenti solo per il tempo necessario per gestire le attività dell’utente sulla piattaforma.
La formazione
I soggetti che gestiscono l’applicazione software dovrebbero essere formati sui principi e le norme del GDPR e sulla gestione dei dati personali. La formazione dovrebbe essere periodica e mirata con l’obiettivo di rendere più consapevole il personale sulle responsabilità legate alla protezione dei dati e alla conformità del Regolamento 2016/679. Inoltre, è opportuno essere a conoscenza delle procedure interne e delle autorizzazioni per la gestione delle informazioni personali.
