L’International Organization for Standardization (ISO) ha adottato il nuovo standard ISO 31700 che delinea i principi di privacy by design nel trattamento dei dati personali collegati alla gestione di un prodotto o servizio di consumo.
L’ISO ha adottato il 31 gennaio 2023 il nuovo standard ISO 31700, composto da una lista di 27 requisiti operativi (31700-1) e da 3 casi pratici della normativa (31700-2) dove viene mostrato come svolgere un adeguamento ai nuovi processi introdotti.
Standard ISO 31700 e GDPR sul principio di privacy by design: qual è il rapporto?
Il GDPR prevede, all’articolo 25, la protezione dei dati “fin dalla progettazione e protezione per impostazione predefinita”, richiedendo al titolare del trattamento di predisporre idonee misure tecniche e organizzative per garantire il trattamento dei dati personali solo nei limiti di quanto necessario al raggiungimento delle finalità per cui vengono trattati.
Quest’approccio proattivo, che mira a prevenire prima di dover agire in modo correttivo in seguito, riguarda una molteplicità di aspetti del trattamento, come la quantità dei dati raccolti, la portata del trattamento, la conservazione e l’accessibilità agli stessi da parte degli interessati. Introducendo nel GDPR il principio di privacy by design, i legislatori europei hanno esplicitato l’output desiderato, ossia che le misure adottate in compliance con l’articolo 25 debbano garantire che, “per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica”.
Sono molti però i dubbi che i consumatori finali hanno rispetto a come esercitare i propri diritti in ambito di privacy by design ai sensi del GDPR, come incerte rimangono le azioni che in concreto i produttori di beni e servizi devono adottare per integrare il rispetto della privacy fin dalla fase di progettazione. Lo standard ISO 31700 ha l’obiettivo di integrare e supportare quando già riportato nel GDPR, identificando requisiti e casi d’uso di applicazione per aiutare nell’implementazione del principio di privacy by design. Pur non presentando un collegamento diretto con la normativa europea per la protezione dei dati personali, i punti di contatto tra GDPR e standard ISO 31700 sono numerosi, a partire dalla definizione di dato personale. Nonostante ciò, è bene chiarire che il rispetto dello standard ISO 31700 non garantisce automaticamente la compliance con le previsioni del GDPR e viceversa e diversi rimangono gli elementi di difformità, come il concetto di “interessato” che, nello standard ISO 31700, diventa “consumatore finale” in un’ottica più commerciale che non di tutela di diritti fondamentali. De facto, si tratta di una certificazione disponibile sul mercato che ha il fine di mostrare la conformità di un’azienda alle prescrizioni privacy delle autorità competenti, con l’obiettivo di ingenerare fiducia negli end-users ed ottenere una posizione di vantaggio competitivo rispetto ad altre aziende operanti nello stesso settore di riferimento.
Struttura e contenuto dello standard ISO 31700 sui principi di privacy by design
Lo standard ISO 31700 si sviluppa attorno ad alcuni pilastri portanti del principio di privacy by design, affrontando questioni pratiche come le modalità concrete per rafforzare i diritti alla privacy degli interessati fin dalla fase della progettazione di beni e servizi, tenendo conto delle preferenze dei consumatori e permettendo loro di esercitare un controllo sui propri dati durante tutto il ciclo di vita del prodotto.
La norma si concentra anche sulla narrativa che le aziende adottano nei confronti dei propri clienti, in particolare fornendo indicazioni su come redigere e mettere a disposizione dei consumatori le informative privacy, come rispondere a richieste o reclami o come affrontare, anche da un punto di vista comunicativo, un caso di violazione dei dati personali (data breach). Lo standard ISO 31700 prosegue poi nell’individuazione dei requisiti che i sistemi organizzativi interni devono presentare per una corretta gestione del rischio, occupandosi di audit interni come di controlli esterni da parte di terzi.
A conclusione dello standard ISO 31700, si trova il pilastro inerente ai controlli sulla privacy per tutta la durata della vita di un prodotto, dall’adozione pratica di questi controlli, alla verifica finale della corretta eliminazione dei dati personali a seguito dello scadere dei termini di conservazione. Per quanto riguarda i casi d’uso, gli esempi forniti riguardano un sito di e-commerce B2C (business-to-consumer), l’offerta di una palestra inerente la raccolta dati delle prestazioni dei propri iscritti e l’invio di questi su un’applicazione per dispositivo mobile ed uno smart lock con relativa mobile app.
Come cambia la compliance privacy delle aziende dopo l’ISO 31700
Viene consegnato in mano alle aziende uno strumento a carattere internazionale che permette quindi di verificare e certificare la compliance aziendale rispetto al principio di privacy by design durante tutto il ciclo di vita del prodotto, dalla fase di progettazione al fine vita, tenendo conto tanto del consumatore quando dei soggetti che a vario titolo interagiscono con esso. Nonostante il disclaimer iniziale per cui lo standard ISO 31700 “non contiene requisiti specifici per le garanzie e gli impegni in materia di privacy che le organizzazioni possono offrire ai consumatori, né specifica particolari metodologie che un’organizzazione può adottare per progettare e implementare i controlli sulla privacy, né la tecnologia che può essere utilizzata per operare tali controlli”, si tratta comunque di un importante passo verso il supporto ad aziende e soggetti interessati per ideare ed utilizzare prodotti e servizi con consapevolezza e nel rispetto dei diritti personali dei singoli.
Sullo stesso argomento potrebbe interessarvi l’articolo “Ann Cavoukian, creator of privacy by design, on data protection challenges (dirittoaldigitale.com)”.