GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/641/00.jpg
giovedì 24 febbraio 2022
di GDPRlab.it
Il Garante francese ha pubblicato la “Guida al GDPR per sviluppatori”: in 16 punti i principi del GDPR che questi devono rispettare nello sviluppo di applicazioni e software conformi alle previsioni di legge in fatto di privacy e protezione dati. Qui la prima parte.
Al momento di pensare l’architettura del futuro applicativo, sarà fondamentale per prima cosa identificare quali dati personali saranno raccolti e, di conseguenza, stabilire il loro ciclo vitale e i meccanismi per gestirli. La scelta degli asset di supporto sarà fondamentale (server, servizi cloud, storage ecc…), assieme alla consapevolezza tecnica. Sarà fondamentale domandarsi come funzionerà il software, tracciando un diagramma che rappresenti il flusso dei dati e, in dettaglio, come si svolgeranno questi processi.
Un punto essenziale sarà domandarsi se i dati saranno stoccati nel terminale dell’utente o comunque rimarrano confinati alle comunicazioni di rete sotto controllo degli utenti, oppure se ci sarà bisogno di ricorrere ad hosting esterni.
Nel primo caso lo sviluppatore potrà limitarsi essenzialmente a garantire la massima sicurezza possibile dei dati. Se si decide invece di affidarsi a terzi, è bene tenere a mente due punti per orientarsi nella scelta:
Siti web, applicativi e server devono essere messi in sicurezza: non solo per quanto riguarda le comunicazioni di rete, ma anche l’intera infrastruttura. Con un’attenzione particolare al meccanismo di autenticazione.
La minimizzazione è uno dei principi essenziali del GDPR. I dati raccolti dovranno essere soltanto quelli rilevanti e necessari in relazione agli scopi che si prefigge il software.
Si deve quindi valutare la tipologia di dati che dovranno essere raccolti PRIMA di implementare l’applicazione. Ad esempio, se per certe categorie di persone non serve raccogliere uno specifico dato, semplicemente è meglio non raccoglierlo. Limitare i dati raccolti è fondamentale sopratutto in caso di informazioni estremamente sensibili, come dati sanitari o relativi alla fedina penale ecc… I vincoli legali sul punto sono così stringenti che, a meno che non sia necessario, è preferibile non raccoglierli. La minimizzazione vale anche per i dati raccolti nel log data.
Se proprio sono necessari dati sensibili, pseudonimizzazione e anonimizzazione possono ridurre rischi ed esposizione.
Spesso si può avere la tentazione di raccogliere dati aggiuntivi non necessari per gli scopi del sowftare, ma per migliorare l’esperienza dell’utente. Un esempio: usare dati di geolocalizzazione per indicazioni geografiche. In questi casi la scelta deve essere lasciata all’utente, che deciderà se prestare o rifiutare il consenso.
Infine: i dati non possono essere conservati senza scadenza. Quindi sono fondamentali meccanismi automatici che procedano ad eliminare completamente i dati che non sono più necessari. Per farlo esistono si possono usare sia tool specializzati che procedere alla distruzione fisica del disco.
Qui la prima parte > Garante francese: guida al GDPR per sviluppatori software (parte 2)
mercoledì 20 settembre 2023
martedì 5 settembre 2023
CONDIVIDI QUESTA PAGINA!