La privacy by design diventa uno standard internazionale: ecco l’ISO 31700

La privacy by design è ufficialmente diventata uno standard internazionale: l'International Organization for Standardization ha adottato l'ISO 31700.

Come ben si sa, per privacy by design s'intende l'integrazione della protezione dati nel ciclo tecnologico: dalla progettazione, passando per l'utilizzo, per arrivare all'eliminazione finale.

Il principio trova il suo fondamento nell'art. 25 GDPR, a norma del quale, considerando lo stato dell'arte e i costi di attuazione, nonché la natura, il campo di applicazione, il contesto e le finalità del trattamento, come anche i potenziali rischi per i diritti e le libertà delle persone fisiche, sia nel momento di determinare i mezzi che nell'esecuzione del trattamento, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate (quali pseudonimizzazione e minimizzazione) volte ad attuare i principi di protezione dei dati in modo efficace ed integra nel trattamento le necessarie garanzie, al fine di soddisfare i requisiti del Regolamento e di tutelare i diritti degli interessati.

Lo standard è stato strutturato in due parti:

• ISO 31700-1:2023 che delinea la cornice operativa, disegnata dai trenta requisiti che lo stesso standard individua;
• ISO 31700-2:2023 che, invece, descrive le attuazioni pratiche della normativa, applicandole in alcuni specifici settori.

Come detto, l'ISO 31700 stabilisce i requisiti per integrare la protezione dei dati nei prodotti e nei servizi di consumo, provvedendo anche a dare una definizione di “consumatore” per tale intendendosi quel soggetto che acquista beni o servizi per scopi privati (iso.org).

Andando ad analizzare brevemente la struttura della normativa, questa affronta dapprincipio le modalità attraverso le quali agevolare gli interessati ad irrobustire i loro diritti lato privacy: partendo con il delineare le loro preferenze, fino ad arrivare ad offrire modalità attraverso cui possono esercitare il controllo sui propri dati.

Il secondo aspetto fondamentale è la comunicazione con l'interessato. L'assunto di base è che i consumatori debbano ricevere un'informazione “chiara, concisa, accessibile, significativa e verificabile” su come, se e perché un prodotto tratterà e gestirà (o no) i loro dati. Fornisce poi indicazioni su come rendere le informative privacy, rispondere alle eventuali richieste o reclami degli interessati ed anche su come predisporre una comunicazione per notificare che i loro dati siano stati coinvolti in un data breach.

Il terzo fulcro della normativa attiene alla gestione del rischio. Viene evidenziato come questa, insieme all'implementazione di procedure di mitigazione dei rischi, da effettuarsi in modo proattivo ed efficace, rifletta il concetto di privacy by design. Il focus in questa sezione sono i processi che riguardano la valutazione del rischio, tanto all'implementazione di operazioni di risk assessment (anche ad opera di terze parti), quanto all'implementazione di controlli privacy.

E proprio a chiudere la ISO 31700 ci sono i controlli sulla privacy. Partendo da quelli che vertono sul “ciclo della vita” delle informazioni raccolte, per arrivare alla loro corretta gestione allo scadere del retention period.

Sebbene la conformità all'ISO non equivalga necessariamente alla conformità al GDPR, sicuramente adeguarsi a questo standard permetterà alle aziende di armonizzarsi ed implementare procedure che sono indubbiamente in spirito con quanto previsto a livello europeo per la tutela dei dati degli interessati.