General Data Protection Regulation (GDPR)
Il tuo software non è gdpr compliance?Multe fino al 4% del fatturato
La compliance al GDPR, il regolamento europeo sulla privacy, è un aspetto spesso sottovalutato dalle aziende e ne troviamo conferma nelle continue implicazioni legali e nelle multe che puntualmente vengono comminate.La compliance di un’applicazione software va costruita già dalle prime fasi dello sviluppo implementando da subito due concetti chiave del GDPR, vale a dire Privacy by Default e Privacy by Design, specificatamente introdotti nell’art.25.
Raccolta e trattamento dei dati personali
Determinare quali tipi di dati personali il software raccoglierà e come verranno trattati.
- Assicurarsi di avere una base legale per la raccolta e il trattamento dei dati.
Accesso ai dati personali
Limitare l'accesso ai dati personali solo alle persone autorizzate.
Garantire un controllo rigoroso sull'accesso ai dati.
Valutazione dell'impatto sulla protezione dei dati (DPIA)
Condurre una DPIA se il software comporta un rischio elevato per i diritti e le libertà delle persone.Identificare e mitigare i rischi associati al trattamento dei dati.
Trasparenza e consenso
- Fornire informazioni chiare agli utenti su come i loro dati verranno utilizzati.
- Chiedere il consenso esplicito degli utenti quando necessario.
Diritti degli interessati
- Rispettare i diritti degli interessati previsti dal GDPR, come il diritto all'accesso, alla rettifica, alla cancellazione, alla portabilità dei dati e il diritto di opposizione.
Sicurezza dei dati
Implementare misure di sicurezza adeguate per proteggere i dati personali da perdite, furti o accessi non autorizzati Questo include la crittografia dei dati, l'accesso protetto con password e l'aggiornamento regolare del software.
Risk Management
Data Protection Officer (DPO)
Sviluppare software oggi significa essere affiancati da una figura esperta in materia G.D.P.R. quale il DPO, la sinergia tra DPO e programmatore produce un risultato sicuro e duraturo nel tempo sopratutto esente da brutte sorprese.
Il Data Protection Officer è una figura di alto livello professionale che deve essere coinvolta in tutte le questioni inerenti alla protezione dei dati personali. Gode di ampia autonomia ed è designato in funzione delle proprie qualità professionali, soprattutto in relazione alla conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai propri compiti; deve, inoltre, possedere delle qualità manageriali, oltre che una buona conoscenza delle nuove tecnologie.
Il responsabile della protezione dei dati deve, quindi, necessariamente avere chiaro il sistema organizzativo dell’ ente pubblico provato presso cui lavora e conoscerne i processi produttivi, nonché i ruoli e le mansioni dei dipendenti soprattutto di quelli che trattano dati personali. Infine il data protection officer è il punto di contatto tra l’autorità di controllo e il titolare del trattamento dei dati.
Affidabilità e Sicurezza
Privacy by Design e by Default grazie a framework che realizzano Encryption, Masking e Logging dei dati
L'utilizzo di software e applicativi di aziende terze comporta che debba essere l'azienda terza a dover sviluppare le valutazioni del rischio dell'uso dell'applicativo, che ovviamente va disegnato in maniera conforme al regolamento. Valutazione che dovrà essere opportunamente documentata al titolare del trattamento. L'azienda fornitrice del software potrà anche usufruire di apposite certificazioni.
Encryption
cifrare i dati al fine di nascondere le informazioni che devono essere protette e quindi decifrare per utilizzarle;
Masking
nascondere una parte dell’informazione applicando opportuni pattern affinchè le persone non autorizzate non possano comprendere l’informazione
Logging
registrare qualsiasi operazione che coinvolga qualsiasi tipologia di dato personale