GDPR, cosa cambia nello sviluppo di un progetto digitale? | Purple Network #Blog

Coding, Purple, Tech, TrendGDPR, cosa cambia nello sviluppo di un progetto digitale?

Ripetiamolo insieme: frontend o backend, il GDPR non distruggerà il lavoro dei dev. In questa prima parte del post introdurremo il nuovo regolamento europeo e tutti gli "attori" interessati alla revisione della privacy, nella seconda ci concentriamo invece su come cambia il workflow.

GDPR, cosa cambia nello sviluppo di un progetto digitale?
28 Marzo 2018 | @Roberta Leone

L’entrata in vigore del GDPR è ormai imminente e ci dice una cosa: dobbiamo diventare tutti più diligenti, sapere quali dati raccogliamo, come li raccogliamo e soprattutto cosa ne faremo.

Dal 25 maggio, passeremo da un discorso etico, ad uno legislativo, con sanzioni tutt’altro che leggere.

In questo periodo di transizione, i web developer giocano un ruolo fondamentale: dopo tutto, una pratica sana di protezione dei dati, riguarda tanto il lato tecnico (codice, data e sicurezza) quanto la parte commerciale del processo, strategia e informazioni.

Purple Network è una web agency, in questo post non vogliamo dare una consulenza legale (troverete solo pochi cenni a questo aspetto) ma esplorare insieme la checklist di best practice che ogni sviluppatore dovrà maneggiare tra poco più di un mese.

Parleremo di:

        • GDPR: cosa cambia nella protezione dei dati
        • Trasparenza, divulgazione e processo: dalla Data Protection Directive al GDPR
        • ePrivacy Directive, l’evoluzione della Cookie Law
        • Cosa intendiamo con “Dati personali”?
        • Responsabile dei dati e Data Processor
        • Chi sono gli attori interessati dalla revisione della privacy?

GDPR: cosa cambia nella protezione dei dati

Il 25 maggio sarà il termine ultimo per procedere con l’adeguamento delle policy in ottemperanza con il nuovo regolamento europeo, che andrà a sostituire tutte le normative locali, uniformando la gestione e la protezione dei dati di tutti i cittadini comunitari. Oltre a questo, una parte del regolamento tratta anche la gestione dei dati in transito.

Questa duplice natura del GDPR, e la sua natura extraterritoriale – in quanto i dati da proteggere sono quelli di tutti i cittadini comunitari indipendentemente da dove vengano raccolti – significa de facto che il General Data Protection Regulation sarà lo standard adottato da tutto il mondo. O almeno da tutti i server che gestiscono dati dei cittadini europei.

Ma il GDPR porterà anche a cambiamenti positivi in tutti i nostri processi aziendali e nel workflow di sviluppo.
La maggior attenzione che dovremmo obbligatoriamente porre nella collezione e nella gestione dei dati non poteva arrivare in un momento migliore: ogni giorno sentiamo parlare di cyber security, violazione dei dati e della privacy, di siti bucati.

In questo scenario il nostro obbligo non è più solo etico e morale ma diventa legale e politico.

Per dirla un po’ come Richard Stallman, anche noi geek dovremo sporcarci con la politica.

I developers hanno un ruolo importante da svolgere e la buona notizia è che gli update richiesti ai nostri frameworks non sono eccessivamente complicati né richiedono una consulenza legale.

Quelle di cui parliamo sono regole di buon senso che possiamo attuare subito; ci concentriamo sulla tematica dello sviluppo web in ottica GDPR, dando una panoramica del nuovo workflow possibile.

Hai bisogno di una consulenza sull’adeguamento dei tuoi prodotti digital?
SCRIVICI

Trasparenza, divulgazione e processo: dalla Data Protection Directive al GDPR

Il tema della protezione dei dati e della revisione generale sui termini di privacy in Europa sono le due macro aree che copre il GDPR.

Quello che entrerà in vigore il 25 maggio è un regolamento che revisiona, modernizza e sostituisce il quadro normativo-procedurale già esistente, la Data Protection Directive, entrata in vigore nel 1995.

Tutti i principi della normativa del ‘95 rimangono validi anche all’interno del GDPR. Ma la prima cosa che desta l’attenzione di chiunque è che non viviamo nello stesso mondo del 1995, una cosa che non è certo sfuggita al parlamento europeo che dichiara:

La rapidità dell’evoluzione tecnologica e la globalizzazione comportano nuove sfide per la protezione dei dati personali. La portata della condivisione e della raccolta di dati personali è aumentata in modo significativo. La tecnologia attuale consente tanto alle imprese private quanto alle autorità pubbliche di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro attività. Sempre più spesso, le persone fisiche rendono disponibili al pubblico su scala mondiale informazioni personali che li riguardano. La tecnologia ha trasformato l’economia e le relazioni sociali e dovrebbe facilitare ancora di più la libera circolazione dei dati personali all’interno dell’Unione e il loro trasferimento verso paesi terzi e organizzazioni internazionali, garantendo al tempo stesso un elevato livello di protezione dei dati personali.

REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016

Come emerge dal documento quindi, quello che aggiunge il GDPR sono definizioni necessarie per riflettere il cambiamento epocale che abbiamo vissuto.
Punta inoltre a rafforzare i requisiti di trasparenza, divulgazione e processo. Una lezione che abbiamo appreso dagli ultimi 23 anni.

ePrivacy Directive, l’evoluzione della Cookie Law

La seconda metà del regolamento deve invece rinnovare la ePrivacy Directive del 2002, al secolo la “Cookie Law”. Questo aggiornamento si concentra invece sui dati in transito come i cookie, i metadata, la telemetria e il consenso per le azioni di marketing.

La ePD, originariamente, sarebbe dovuta entrare in vigore il 25 maggio con il GDPR ma pare ci sia qualche ritardo nelle approvazioni: un bene per i dev che potranno concentrarsi prima sullo scopo più ampio e in un secondo momento allinearsi al ePrivacy Directive.

Cosa intendiamo con “Dati personali”?

I framework di protezione dati inseriti nel GDPR riguardano i dati personali, intesi come “qualsiasi informazione relativa a una persona fisica, identificata o identificabile” e questa è la prima informazione per creare il Registro dei trattamenti che, non si dovrà produrre esclusivamente per i progetti esterni ma, anche per la gestione dei dati interni all’azienda .

Ad affiancare i dati personali, ci sono quelli che vengono chiamati “dati personali sensibili”, dei quali fanno parte:

  • Origine etnica/razziale
  • Opinioni politiche
  • Credo religioso o filosofico
  • Appartenenza sindacale
  • Dati sulla salute
  • Orientamento sessuale
  • Condanne penali passate o scontate

Quest’ultima definizione è importante per gli sviluppatori: indirizzi IP, ID del dispositivo mobile, impronte digitali memorizzate nel browser, tag RFID, indirizzo MAC (media access control), cookies, telemetria, users ID e qualsiasi altra forma di dati system-generated che identificano una persona fisica non sono dati personali sensibili di per sè, lo diventano quando vengono aggregati.

Responsabile dei dati e Data Processor

Il termine europeo “personal data” differisce dallo statunitense “personally identifiable information”, che si riferisce infatti ad un set di informazioni molto più limitate rispetto al modello europeo e non considera le informazioni come contestuali, al contrario della struttura europea che sottolinea i rischi inerenti all’aggregazione dei dati.

I personal data sono utilizzati dai responsabili del trattamento dati e dai Data Processor. Il responsabile del trattamento dei dati è una persona o un’entità (come te o la tua azienda), che decide quali dati vengano raccolti, come vengono utilizzati e con chi sono condivisi.

Il Data Processor è un’entità distinta dai responsabili del trattamento: è deputato esclusivamente all’elaborazione dei dati. Uno sviluppatore può essere quindi un Data Processor, un responsabile del trattamento o entrambi.

Chi sono gli attori interessati dalla revisione della protezione dei dati?

La legislazione europea sulla protezione dei dati è – ed è sempre stata – extraterritoriale.
Si applica a tutti i dati personali raccolti, trattati e alla data retention, relativi a cittadini che risiedono all’interno dell’Unione Europea, indipendentemente da cittadinanza o nazionalità.

In termini più semplici significa che se lavori in Europa o raccogli dati sui cittadini comunitari, devi proteggerli in conformità con il regolamento.

Se non sei pronto a soddisfare ogni richiesta inserita nel GDPR non dovresti più fare business digitale in Europa (un giorno poi parleremo di cosa ne sarà di 23 anni di raccolta dati indiscriminata).

Il GDPR si applica a tutte le imprese, situazioni, scenari e settori indipendentemente dalle dimensioni, dal fatturato o dal numero di dipendenti, dai Big Player ai piccoli studi di sviluppo.

Il regime europeo di protezione dati è in netto contrasto con quello statunitense, privo di un’unica legge per il trattamento dei dati globale, trasversale o settoriale.

L’unica legge in vigore negli U.S.A. è applicabile solo ad alcuni settori o Stati; l’approccio americano non considera la Privacy come una disciplina a tutti gli effetti ma come una parte, un sottoinsieme del diritto contrattuale o di proprietà.

Questo gap tra Europa e Stati Uniti non aiuta gli sviluppatori americani che non vivono la privacy come un diritto umano fondamentale – non avendo equivalenti in patria – e aggiunge altri step per il loro adeguamento e la familiarizzazione con i regolamento europeo.

Nella seconda parte del post parleremo di come cambia il workflow nello sviluppo frontend e backend di un prodotto digital.

 

Per attivare una consulenza sul processo di adeguamento per i tuoi prodotti digital

SCRIVICI

  •  
  •  
  •  
Lavora con noi

Scatti in binario

Instagram has returned invalid data.

Seguici su Instagram!