servizio dpo

Privacy by Design

FRANCESCO IORI

FRANCESCO IORI

Sales Executive.
Privacy Consultant- PrivacyLab Certified,
DPO UNICERT/DAKKS and UNI 11697:2017,
Certified Innovation Manager,
Lead Auditor ISO/IEC 27001:2017

Laureato e Dottorato in Chimica con attività di ricerca e pubblicazioni nell'ambito della Chimica Computazionale, dove sviluppa il suo interesse per l'informatica e i grandi numeri ( quelli che oggi chiamano tutti Big Data).
Un volta uscito dal mondo accademico si è formato prima sulle vendite, poi sul marketing ed infine sulla gestione delle relazioni e delle reti tra imprese ed imprenditori.
Dal 2018 Socio di Alchimie digitali, e socio fondatore di Agile DPO Fa parte della "prima classe" dei consulenti certificati e tra i primi in Italia ad avere la doppia certificazione come DPO sia DPO UNICERT/DAKKS che UNI 11697:2017.
Di recente ha completato la certificazione di Lead Auditor ISO 27001 ed è nell'elenco dei Manager dell'Innovazione del Ministero dello Sviluppo Economico.

Privacy by design è un concetto che significa che tutto ciò che riguarda la privacy va valutato nella fase di progettazione del lavoro, e non aggiunto successivamente.

 

È un po’ come per i criteri antisismici nella costruzione degli edifici: valutarli e attuarli mentre la casa viene costruita è molto più semplice che adeguare tutto successivamente.

Ma quindi se ho un’azienda già avviata cosa devo fare? Chiudere tutto e poi ricominciare con una nuova inglobando subito i principi della Privacy by design? 

No, certo che no. 

Ma la PbD deve essere assorbita fin nelle fondamenta della ditta.

Mettiamo le cose in chiaro: la privacy è diventata come le tasse e la morte: non si scappa. Va affrontata, e prima e più sistematicamente si fa, meglio è. Per questo la privacy va incorporata nel progetto: è questo il senso della privacy by design. Il concetto “fratello” è quello della privacy by default. Ovvero che la privacy dev’essere l’impostazione di default.
Ad esempio non deve essere obbligatorio compilare un form in cui il conferimento dati è facoltativo. Si parte sempre dalla protezione della privacy. La privacy è al centro. Come sottolineato dal regolamento sul GDPR.

Partendo da questo assunto, possiamo provare a capire concretamente come attuare la privacy by design.

 

Dal sapere al saper fare la Privacy by design:

i passaggi chiave per attuarla

 

Preparatevi, sarà una lotta, come nel fight club, e proprio come nel fight club, in questo caso abbiamo poche regole, ma molto semplici:

  1. Coinvolgere tutta l’azienda

Scordatevi le scene dei film sui nerd anni ‘90 in cui il nostro esperto di privacy e informatica sta nel suo stanzino a digitare milioni di caratteri al secondo occupandosi di risolvere problemi mentre i CEO e gli alti livelli si sfiniscono tra festicciole a base di champagne e orge. Il professionista dell’azienda deve evangelizzare tutto lo staff, dal vertice alla base della piramide.

In altre parole non è sufficiente che chi dirige l’azienda affidi il lavoro a chi sta sotto di lui passando da vassalli, valvassini e valvassori, fino a chi si sporca le mani. Altrimenti la PbD è poco più di un’altra delle tante parole anglosassoni con cui ci riempiamo la bocca durante un tentativo di rimorchio nelle festicciole di cui sopra. 

Come coinvolgere: gruppi di discussioni, aggiornamenti, reminder sull’importanza del concetto di privacy, creare un quadro concettuale chiaro a cui tutti possano riferirsi, per esempio “l’Organigramma Privacy”.

Se dovessimo riassumerlo con un semplice programmino basic (oggi ho i nerd in testa), sarebbe:
10 comunicare
20 insegnare
30 goto 10
da questo loop non si esce.

2. Conoscere bene l’azienda

Dall’altra parte chi si occupa di privacy deve conoscere bene il prodotto dell’azienda, le dinamiche e i rapporti tra i vari settori. Deve sforzarsi il più possibile di comprendere a fondo le feature e le potenzialità di ogni prodotto in modo da applicare al meglio le questioni di privacy e renderle un tutt’uno con gli altri processi dell’azienda. 
Diciamo che il Privacy by design deve far parte del processo costruttivo di ciò che l’azienda offre.

3. Adattare le istruzioni

Immaginatemi con la faccia di Clint Eastwood mentre, nei panni del sergente Gunny, vi ripeto questo mantra: “improvvisare, adattarsi e raggiungere lo scopo”.

Nel GDPR non si improvvisa. 

Le regole sono chiare, ma vanno assolutamente adattate alla vostra realtà professionale. I cardini rimangono invariati: tutti devono conoscere l’importanza della privacy e il processo di valutazione dell’impatto della privacy deve coinvolgere tutta l’azienda. Allo stesso modo chi si occupa della privacy deve capire come intervenire al meglio per raggiungere lo scopo. Sapere di quale budget dispone, chi interviene nelle varie fasi (dalla progettazione tecnica fino al rapporto coi clienti), in modo che la privacy sia presente in ogni settore.

Ma chi controlla i controllori? 

Quando il monitoraggio e il trattamento dei dati sono il core business dell’azienda, o avvengono su larga scala, può rendersi necessario incaricare un DPO, il Data Protection Officer, interno o esterno. 

Vuoi sapere in che modo AgileDPO può essere la tua soluzione?
Scopri chi sono i nostri esperti e tutti i servizi che eroghiamo per assicurare la corretta gestione e protezione dei dati! 

Clicca QUI per scoprire i nostri servizi oppure contattaci tramite Facebook, Linkedin, e-mail o semplicemente.. con una chiamata! 
Se preferisci, puoi anche compilare il nostro Form di contatto QUI!

Scopri di più sull'autore di questo articolo!
Contatti

Ti è piaciuto il nostro articolo? CONDIVIDILO!

Share on facebook
Share on linkedin
Share on email
Share on print

Conosci già i nostri servizi?

Sono molti i soggetti che per legge devono nominare un DPO: aziende, partiti, sindacati, società di professionisti… anche tu sei fra gli obbligati?