Privacy by design, che significa per le software house?

Il GDPR è la prima normativa al mondo a prevedere, come prescrizione normativa, il principio di privacy by design. Questo fondamentale principio ha importanti implicazioni anche per le software house.
  • Data: 14-04-2020
  • Tag: privacy, privacy by design, gdpr, protezione dati, software, software house, sviluppo software

Il Regolamento UE 2016/679 (GDPR) è la prima normativa al mondo a prevedere esplicitamente il principio di privacy by design. Questo principio, che ora deve ritenersi non più una buona prassi ma vera e propria prescrizione cogente, è disciplinato dall'art. 25 del Regolamento.

L'art. 25 prevede che il titolare del trattamento - tenuto conto del contesto e dei rischi - metta in atto misure tecniche e organizzative adeguate a dare attuazione ai principi per la protezione dei dati, sia al momento di determinare i mezzi del trattamento, sia durante il trattamento.

Questo principio, ancora sottovalutato, avrà importanti ripercussioni sul mercato. Anche alla luce di quanto disposto dal successivo art. 28, deve oggi ritenersi che le aziende che utilizzano strumenti (software, hardware) per trattare dati personali devono accertare che tali strumenti siano in grado di dare attuazione ai principi e prescrizione del Regolamento europeo.

Il principio di privacy by design ha due ordini di conseguenze:

Primo, ogni azienda è responsabile della scelta degli strumenti utilizzati. Qualora questi strumenti, specie se software as a service si rivelino inadeguati a rispettare il Regolamento, l'azienda (titolare del trattamento) potrebbe essere ritenuta responsabile e sanzionabile per c.d. culpa in eligendo.

Secondo, le software house che sviluppano strumenti utilizzati dalle aziende, sopratuttto se come software as a service devono assicurare che il proprio prodotto sia sviluppato secondo il principio di privacy by design, e che sia quindi in grado di rispettare tutti i requisiti previsti dal Regolamento europeo. 

Il principio di privacy by design sarà un importante motore di mercato, che solo ora sta iniziando a muovere anche alcuni meccanismi dell'amministrazione pubblica. Alcuni bandi di gara pubblici prevedono già infatti che i partecipanti debbano essere in grado di dimostrare il rispetto del principio di privacy by design e dei requisiti del GDPR.

È ragionevole ritenere che nei prossimi anni le software house che saranno in grado di adottare metodologie di sviluppo software orientate alla privacy by design (c.d. privacy engineering) avranno un grande margine competitivo rispetto a chi invece, non saprà adattarsi.

In questo, potranno aiutare metodologie di sviluppo già affermate, come l' Agile Secure Development Lifecycle, già naturalmente predisposta per l'integrazione di requisiti di sicurezza all'interno di un ciclo di sviluppo software.

La speranza è che sempre più software houses siano in grado di prendere in considerazione il principio di privacy by design, non solo quale obbligo normativo, ma come vero e proprio motore di un mercato sempre più attento alla protezione dei dati personali.


Se vuoi saperne di più su privacy by design e privacy engineering, leggi la nostra breve guida: GDPR Insight - Privacy by design & privacy engineering