Il primo criterio è il Data protection by design and by default,
tradotto in Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita (si veda art. 25), ossia dalla necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del regolamento e tutelare i diritti degli interessati tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati.
Tutto questo richiede, pertanto, un’analisi preventiva e un impegno applicativo da parte dei titolari che deve concretizzarsi in una serie di attività specifiche e dimostrabili.
si parla di PROTEZIONE DEI DATI FIN DALLA PROGETTAZIONE, e non di SICUREZZA dei dati fin dalla progettazione.
Il semplice riferimento alla SICUREZZA come adempimento richiesto è quindi molto riduttivo.
Qualsiasi progetto (sia strutturale sia concettuale) va realizzato considerando dalla progettazione (appunto by design) la riservatezza e la protezione dei dati personali.
- Ogni volta che un progetto software inizia deve prendere in considerazione,
- prima di tutto la protezione dei dati personali, progettando tutto attorno alla persona fisica.
- Secondo questo metodo è molto semplice evitare i rischi privacy e di sicurezza.
- La PbD prevede che la privacy sia considerata già nella fase di progettazione.
In seguito ad esempio di un data breach, ogni azienda che sviluppi software per sè o in conto terzi, dovrà dimostrare, quali azioni ha svolto per rendere i propri sviluppi software esistenti ed nuovi sicuri sotto i profilo del trattamento dei dati personali.
La valutazione di "DpD compliance" costituisce un valore aggiunto di rilievo perché attesta che tutti i processi sono stati seguiti considerando adeguatamente la protezione dei dati personali. La PbD comprende una trilogia di applicazioni
- sistemi IT;
- pratiche commerciali corrette;
- progettazione strutturale e infrastrutture di rete
vengono individuati 7 principi definiti fondamentali che esprimono pienamente l'intero senso di questa prospettiva
- Proattivo non reattivo – prevenire non correggere;
- Privacy come impostazione di default;
- Privacy incorporata nella progettazione;
- Massima funzionalità − Valore positivo, non valore zero;
- Sicurezza fino alla fine − Piena protezione del ciclo vitale;
- Visibilità e trasparenza − Mantenere la trasparenza;
- Rispetto per la privacy dell'utente − Centralità dell'utente
tratto da articolo del Sole 24: Privacy by Design: l'approccio corretto alla protezione dei dati personali
