La necessità di un approccio consapevole al tema della tutela dei dati personali emerge sempre più prepotentemente: movimenti di consumatori, hacker etici, Garanti nazionali, opinione pubblica e Legislatore europeo sono sempre più coscienti che i dati personali di ciascuno di noi sono “beni” preziosi, che rivelano molto più di quello che a una prima analisi si possa pensare, e che bisogna affidare a chi fornisce adeguate garanzie di protezione.
Nel 2017, infatti, si è stimato che, mediamente, nell’arco di 40 anni di vita di una persona, il valore dei suoi dati personali, immessi in rete, ammonta a circa 30-50 mila Euro. In un’epoca post pandemica, caratterizzata da una forte accelerazione digitale, dall’avvento di intelligenza artificiale e Metaverso, questo valore non può che aumentare.
Ma questo valore può essere capitalizzato, valorizzato e sfruttato dalle Imprese, anche piccole e medie, solamente se i dati personali dei propri utenti vengono opportunamente raccolti, trattati e protetti.
Ragionare in termini di data protection by default e by design è quindi necessario per una semplice ragione: i dati personali esprimono la qualità e la centralità della persona umana all’interno di qualsiasi processo (aziendale, produttivo, commerciale).
Inoltre la protezione dei diritti personali rappresenta poi un diritto fondamentale dell’individuo, sancito dalla Carta dei diritti fondamentali dell’Unione Europea (art. 8: “Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano”), e che ha trovato concreta tutela nel Regolamento dell’Unione Europea 2016/679 (ben più conosciuto come GDPR).
L’esigenza di protezione si è fatta più urgente negli ultimi decenni per via del velocissimo sviluppo tecnologico che ci ha coinvolti, non solo dal punto di vista personale (pensiamo a quanto i social network facciano ormai parte integrante e costituiscano quasi una “esigenza” della nostra vita), ma anche lavorativo (pensiamo alla necessità di individuare modalità di lavoro da remoto, in piena pandemia) e industriale (Internet of Things, Industria 4.0, servitizzazione, intelligenza artificiale, machine learning, per fare degli esempi).
Tutto si basa sul trattamento (alle volte massiccio) di dati, e spesso tra questi dati si intercettano anche quelli personali.
Alla luce di tutto ciò, si capisce che in un contesto come questo, la tutela e protezione dei dati personali rappresenta una grande necessità, non solo nel senso di soddisfazione del dato normativo ma anche, e soprattutto, nell’ambito di una efficiente gestione di un flusso di dati destinato a incrementare il proprio volume sempre più velocemente.
Ecco che si rende necessario un approccio che possa essere al contempo consapevole, responsabile e flessibile da parte delle imprese, che preveda il rispetto dei requisiti della protezione dei dati fin dalla progettazione e per impostazione predefinita.
Ma cosa significa, concretamente, adottare un approccio di protezione by default e by design? Ci viene in soccorso l’art. 25 del GDPR:
- la data protection by design (o protezione dei dati fin dalla progettazione) richiede al titolare del trattamento di adottare misure tecniche e organizzative adeguate e di integrare nel trattamento dei dati personali le garanzie necessarie per attuare in modo concreto i principi stabiliti dal GDPR – liceità, correttezza, trasparenza, limitazione delle finalità e della conservazione, minimizzazione, esattezza, integrità, riservatezza – in modo che la protezione dei dati personali sia effettiva ed efficace;
- la data protection by default (o protezione dei dati per impostazione predefinita), fa riferimento a delle impostazioni che il Titolare del Trattamento deve predefinire, quali fossero delle impostazioni “di fabbrica”, di default, appunto, che gli consentano di garantire che vengano effettuati solamente i trattamenti strettamente necessari per conseguire la specifica e lecita finalità perseguita (specialmente nel momento della raccolta dei dati personali).
La valutazione delle concrete misure tecniche e organizzative, le impostazioni “predefinite” da porre in atto, così come le loro modalità di integrazione sono rimesse al Titolare, in base al principio di accountability (o responsabilizzazione).
Tutto molto complesso?
In realtà, no.
Quando veniamo chiamati a intervenire ai tavoli di progettazione, il nostro ruolo è proprio quello di acquisire la visione complessiva del progetto e di comprendere quali possano essere i punti concreti di contatto con temi che riguardano la data protection.
I vantaggi sono molteplici:
- mettere la persona al centro sin dalla progettazione e per impostazione predefinita significa dare il giusto valore al nostro cliente, utente, partner, che lo percepisce direttamente;
- individuare, valorizzare e implementare concrete e corrette misure di protezione dei dati personali consente di acquisire un vantaggio competitivo non indifferente, rispetto ad altri competitor che non vi presta la dovuta attenzione;
- una impostazione corretta del sistema privacy, inoltre, consente un notevole risparmio, in termini di tempo (investito all’inizio, ma ripagato nel tempo grazie a procedure impostate correttamente) ma anche di risorse economiche, rispetto a una loro individuazione e implementazione successiva (che magari richiede una revisione completa del modello) o – peggio ancora – in caso di contestazioni.
Strong data protection rules are not a luxury, but a necessity
E noi pensiamo che sia una necessità, una sfida da cogliere, individuandone gli aspetti positivi e i vantaggi che una corretta compliance può portare all’Impresa nel medio-lungo termine.