La guida GDPR del Garante francese per gli sviluppatori

La guida GDPR del Garante francese per gli sviluppatori
del
31/10/2023
, sorgente
Redazione UTOPIA

L’autorità per la protezione dei dati francese sfida il principio di Cartesio secondo cui il dubbio rappresenti l’inizio della conoscenza.

Il CNIL cerca di eliminare i dubbi privacy degli sviluppatori tracciando delle linee guida utili per rispettare il GDPR.

Sul proprio sito il CNIL (Commission Nationale Informatique et Libertés, l’equivalente francese del nostro Garante) ha creato una sorta di vademecum indirizzato agli sviluppatori, utile allo sviluppo e alla distribuzione di applicazione.

Il documento si articola in 17 macro-punti.

Sviluppare in conformità al GDPR

Per garantire che i dati degli utenti e tutti i trattamenti di dati personali siano sufficientemente protetti per tutto il ciclo di vita del progetto occorre:

  • Prima di tutto conoscere i principi fondamentali del GDPR;
  • Tenere un registro delle attività di trattamento per poter mappare e classificare correttamente i dati e l’elaborazione;
  • In base a quanto emerso sarà opportuno identificare eventuali azioni necessarie anche sulla base della valutazione d’impatto sulla privacy;
  • Mettere in atto i processi interni;
  • Creare la documentazione prevista dal regolamento.

Dati anagrafici identificativi

Avere ben chiaro quali sono i dati personali, quali di questi appartengono alla categoria di dati sensibili è estremamente utile.

Conoscere e attuare le pratiche che determinano l’anonimizzazione e la pseudonimizzazione dei dati quando necessario diventa indispensabile.

Prepara la fase di sviluppo

Il mantra è il “privacy by design”: ossia mettere la protezione della privacy sempre al centro dei processi di sviluppo.

Questo significa adottare determinate scelte tecnologiche in fase di definizione di architettura e caratteristiche del sito, ma anche nell’individuazione degli strumenti e delle pratiche idonee.

Proteggi l’ambiente di sviluppo

Cosa significa proteggere l’ambiente di sviluppo?
Significa valutare i rischi e adottare le opportune misure di sicurezza, significa proteggere i server e le postazioni di lavoro in modo omogeneo e riproducibile, significa porre particolare enfasi sulla gestione degli accessi e sulla tracciabilità delle operazioni.

Gestisci il codice sorgente

Qualunque sia la dimensione del progetto, si consiglia vivamente di utilizzare uno strumento di gestione del codice sorgente come un sistema di controllo della versione per tenere traccia delle sue diverse versioni nel tempo.

Fai una scelta consapevole dell’architettura

Durante la progettazione dell'architettura è fondamentale individuare quali dati personali verranno raccolti per definire il loro percorso e il relativo ciclo di vita.

La scelta degli asset di supporto rappresenta un passaggio cruciale e deve essere basata sulle esigenze e sulle conoscenze tecniche.

Il registro e la conduzione di una valutazione dell'impatto sulla privacy possono diventare elementi di supporto alla scelta.

Proteggi siti, applicazione e server

Proteggere le reti di comunicazione non è sufficiente a garantire la sicurezza di base all’avanguardia, occorre adottare anche processi volti alla protezione delle autenticazioni e della messa in sicurezza delle infrastrutture. 

Minimizza la raccolta dei dati

Spesso e volentieri il principio di minimizzazione è la spada di Damocle che sentenzia la fine o il danneggiamento di numerosi progetti.

Non bisogna sottovalutare questo principio e agire preventivamente individuando quali dati sono necessari e quali no, oltre a definire in maniera chiara il limite temporale di conservazione ma soprattutto il processo di cancellazione automatica.

Gestisci i profili utente

Fa il verso al punto precedente: trasformato in azioni concrete significa definire i diversi profili di accesso e autorizzazione in modo che ogni persona possa accedere solo ai dati di cui ha effettivamente bisogno.

Controlla le librerie e software di terze parti

Un punto valido per gli sviluppatori che utilizzano librerie, SDK o altri componenti software scritte da terze parti.

Prestare massima attenzione nella scelta di questi elementi e valutare l’utilizzo solo in funzione della loro utilità 

Garantisci qualità del codice e della documentazione

La parola d’ordine è semplicità, che applicata al codice si traduce in leggibilità.

L’adozione di buone buone tecniche di scrittura del codice garantisce la leggibilità del codice necessaria a ridurre lo sforzo di manutenzione e correzione dei bug nel tempo per te e per i tuoi collaboratori, presenti e magari futuri.

Prova le applicazioni

Mettersi nei panni del potenziale utente è una delle più importanti leggi del marketing per comprendere bisogni, necessità e problemi del nostro target.

In questo caso lo sviluppatore che utilizza questo approccio ottiene diversi vantaggi:

  • Verifica per primo il corretto funzionamento e la buona esperienza d'uso;
  • Trova e previene i difetti prima che entri in produzione;
  • Riduce notevolmente il rischio di violazioni dei dati personali.

Informa gli utenti

Avete presente le 5W del giornalismo? Siamo lì vicino.

Capire chi informare, quando informare, cosa inserire nell’informazione e come informare.
Il perché invece dovrebbe essere già ben chiaro: Il principio di trasparenza del GDPR.

Ricorda i diritti degli utenti

Il nuovo regolamento sulla gestione e il trattamento dei dati personali offre ai soggetti di cui trattiamo i dati, i diritti di accesso, rettifica, opposizione, cancellazione, portabilità dei dati e limitazione del trattamento.

Preparare in maniera preventiva le modalità in cui gestire l’esercizio di tali diretti garantisce un vantaggio gestionale, temporale e competitivo non indifferente. 

Definisci il periodo di conservazione dei dati

Abbiamo già affrontato il tema nel punto 8 (minimizzazione), accennando al periodo di conservazione di dati.

Considerata l’importanza, l’autorità francese torna ancora sull’argomento ribadendo che una volta ottenuta la finalità del trattamento i dati dovrebbero essere archiviati, cancellati o resi anonimi.

Considera la base giuridica nell’attuazione tecnica

La scelta di una base giuridica ha un impatto diretto sulle condizioni di esecuzione dell'operazione di trattamento e sui diritti delle persone fisiche.

Per questo motivo anticipare la base giuridica delle operazioni di elaborazione prima di qualsiasi sviluppo permetterà di integrare le funzioni necessarie per garantire che tali operazioni di elaborazione siano conformi alla legge e rispettino i diritti delle persone

Usa i dati sui tuoi siti web e sulle applicazioni

Considerando che la maggior parte delle offerte di misurazione dell'audience di grandi dimensioni non rientra nei casi di esenzione, per risolvere questo limite si può contattare il provider oppure utilizzare un software open source.

Iscriviti alla Newsletter di UTOPIA.

Iscriviti alla Newsletter per ricevere il Privacy Digest che include un riepilogo bisettimanale degli ultimi articoli del Blog e le ultime novità di UTOPIA.

Iscrizione avvenuta con successo!
Ops! Qualcosa è andato storto. Ricarica la pagina e riprova...
 SCOPRI TUTTE LE NEWS SUL GDPR

Rimani aggiornato sul mondo GDPR e ricevi l'infografica sull'accountability documentale

Scopri quali sono gli adempimenti documentali obbligatori e consigliati a fronte dell’entrata in vigore del nuovo regolamento europeo sulla protezione dei dati personali.

Crea il tuo account personale in meno di un minuto e scopri tutte le potenzialità di UTOPIA. Tutto incluso e senza alcuna limitazione, gratuitamente, per 14 giorni.

infographic
Iscrizione effettuata con successo!
Abbiamo inviato una email all'indirizzo che hai scelto con il link per scaricare l'infografica sull'accountability documentale. Assicurati che non sia andata a finire nello SPAM.
Ops! Si è verificato un errore. Ricarica la pagina e riprova...