GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/656/00.jpg
martedì 12 aprile 2022
di GDPRlab.it
Il Garante francese ha pubblicato la “Guida al GDPR per sviluppatori”: in 16 punti i principi del GDPR che questi devono rispettare nello sviluppo di applicazioni e software conformi alle previsioni di legge in fatto di privacy e protezione dati. Qui la prima parte, qui la seconda parte.
La maniera di gestire i profili dei collaboratori e degli utenti finali va deciso a monte dello sviluppo. Consiste nel definire profili di accesso e autorizzazione differenziati, di modo tale che ognuno possa accedere solo ai dati di cui ha effettivamente bisogno. Il primo passo è, ovviamente, l'uso di un identificatore unico ed individuale sia per i collaboratori in fase di sviluppo dell'applicazione sia per gli utenti finali. La conseguenza? L'imposizione di un meccanismo di autenticazione prima dell'accesso a qualsiasi tipo di dato.
Inoltre, per garantire l'accesso solo ai dati strettamente necessari, il sistema deve prevedere policy differenziate di lettura, scrittura, cancellazione ecc.. secondo le esigenze. I profili sono così organizzati secondo il ruolo dell'utente. Il vantaggio ulteriore di tale meccanismo è che garantisce la possibilità, insieme ai sistemi di logging, di tracciare le attività e rilevare anomalie. Un modo che aiuta anche a individuare più facilmente accessi fraudolenti e utilizzo illegittimo dei dati.
E' utile prestare attenzione a:
Questa scheda è importante per coloro che utilizzano librerie, kit di sviluppo e altre componenti software scritte da terze parti. I consigli del garante francese sono:
1. fai una scelta consapevole:
2. scegli software, librerie e SDK mantenute:
3. mantieni librerie e SDK:
La documentazione relativa all'applicativo viene molto spesso tralasciata durante lo sviluppo, perchè manca sempre tempo. Tuttavia è fondamentale per la manutenzione dell'applicativo stesso. Tale documentazione infatti deve consentire di capire il funzionamento globale del codice e quale parti di questo sono soggette a modifica. Non basta però documentare il codice: la documentazione deve illustrare anche l'architettura dell'applicazione. Questo sarà di grande aiuto anche per gli sviluppatori per capire come le varie parti devono lavorare insieme. Ovviamente, se evolve il codice la documentazione deve andare di pari passo. Infine, la documentazione deve dettagliare la sicurezza. E' utile indicare varie posture di sicurezza per l'applicativo, indicando quelle che offrono maggiore protezione.
Adottare buone pratiche di programmazione è in questo caso molto utile. Il Garante francese consiglia questa guida su GitHub, che elenca le convenzioni esistenti. In ogni caso è utile:
La leggibilità del codice riduce lo sforzo per il mantentimento e la correzione di bug nel tempo.
L'ulteriore passo prevede di testare l'applicazione per verificare che svolga correttamente le operazioni, che garantisca una buona user experience e per individuare e risolvere problemi prima dell'utilizzo. Il Garante francese identifica 3 fasi di test:
Una indicazione specifica: per i test il Garante francese consiglia l'uso di un database di dati fittizi simile a quelli reali. L'uso di dati personali reali comporterebbe infatti una violazione delle finalità del trattamento dei dati nonchè un aumento del loro rischio di esposizione. In caso sia necessario importare configurazioni esistenti dalla produzione ai casi di test, si consiglia di rendere anonimi i dati personali.
Nella prossima puntata della guida al GDPR per sviluppatori software tutto quanto riguarderà gli utenti dell'applicativo: informative, meccanismi di esercizio dei diritti degli interessati, il periodo di conservazione dei dati, l'uso di analytics ecc...
mercoledì 20 settembre 2023
martedì 5 settembre 2023
CONDIVIDI QUESTA PAGINA!