Lo standard ISO 31700:2023 è l’ultimo step, ma è fin dagli albori dei moderni quadri normativi sulla protezione dei dati, che privacy-by-design e privacy-by-default sono considerati due concetti centrali per la protezione dei dati personali. Nonostante ciò, nei fatti di cronaca, sono comparsi svariate volte scandali su prodotti che funzionavano in modo non esattamente impeccabile… con tutte le conseguenze in termini di reputazione dell’azienda che li commercializzava.
Chi si ricorda, ad esempio, di CloudPets, il peluche della Spiral Toys che registrava messaggi vocali tra bambini e genitori? Per una scarso livello di sicurezza, nel 2017, le registrazioni di 800.000 utenti furono rese accessibili ad estranei per settimane, semplicemente tramite il web.
Più recentemente, ha fatto scalpore anche il caso dell’aspirapolvere spia, il robot Roomba. O meglio, una sua versione in fase di test che aveva catturato immagini intime dei volontari che lo stavano testando, apparse successivamente su alcuni forum.
Pensando a questi casi, risulta chiaro che la nozione di privacy-by-design deve essere recepita in modo molto pragmatico. Non si parla di un concetto astratto, ma una pratica da attuare con azioni molto concrete. Nella sua più recente declinazione, quella giunta con la norma ISO 31700:2023, si cerca di andare in questa direzione.
Indice
Cos’è la ISO 31700:2023?
Come per tutte le ISO, anche la 31700 rappresenta uno standard dell’Internation Standards Organisation. Non è legge, non ci sono obblighi e non ci sono sanzioni. Ma costituisce una metodologia, una linea guida riconosciuta a livello internazionale. Un’azienda che si affida a una ISO, ha la ragionevole certezza di fare le cose nel modo corretto. E se ha a che fare con consumatori, i suoi clienti possono sapere che usufruiscono di un prodotto o un servizio sicuro, di buona qualità e affidabile.
Con la ISO 31700, vengono stabiliti i requisiti per la privacy-by-design e la tutela dei dati personali durante il ciclo di vita di un prodotto di consumo. Il focus della ISO 31700 è quindi proprio sulla protezione dei dati del consumatore, da intendersi come una qualsiasi persona che abbia acquistato (o possa acquistare) beni, prodotti o servizi da utilizzare per scopi privati o professionali.
Questo standard sembra infatti ispirato da un doppio obiettivo: da una parte, i requisiti di privacy-by-design operano nell’interesse del consumatore, responsabilizzando le aziende che immettono prodotti e servizi sul mercato digitale, per far sì che siano rispettose dei diritti alla privacy; dall’altro lato, è nel pieno interesse delle stesse aziende, governare e gestire i propri processi di sviluppo e messa in commercio di prodotti digitali che consentano di mantenere elevata la fiducia dei consumatori, anche sotto il profilo della tutela dei dati personali.
Per quali circostanze di trattamento dati è concepita la ISO 31700?
Lo standard è quindi pensato per tutte le organizzazioni che commercializzano beni e servizi di consumo – soprattutto digitale – che prevedano il trattamento di dati personali. O almeno per quelle funzioni responsabili della loro ideazione, progettazione, produzione, gestione, test, assistenza, manutenzione, o smaltimento. Rimarca più volte l’importanza di avere uno sguardo su tutto il ciclo di vita del prodotto/servizio, anche durante il suo sviluppo, prima della sua commercializzazione, e dopo il termine del suo utilizzo da parte dei consumatori.
Il documento non specifica le modalità, le metodologie, o le tecnologie che le organizzazioni possono o devono adottare nel proprio impegno di tutela della privacy. Copre invece tutte le azioni di governance di alto livello che possono avere un impatto sulla protezione dei dati. E non omette di considerare anche le azioni rilevanti sui dati che possono essere svolte direttamente dal consumatore (es. nell’ambito di servizi online interattivi, o dell’utilizzo delle funzionalità del prodotto in questione).
Quali sono i requisiti per la tutela della privacy del consumatore?
Per chi fosse interessato allo standard, ma è incerto se spendere i 166 CHF per acquistarla, ecco un primo sguardo sui suoi contenuti. Il cuore della ISO 31700 è nella descrizione dei suoi 27 requisiti per la privacy by design, i quali a sua volta sono organizzati in 5 categorie:
- 8 requisiti generali
- 5 requisiti per la comunicazione con i consumatori
- 5 requisiti per la gestione del rischio
- 8 requisiti di sviluppo, implementazione e gestione dei controlli privacy
- 1 requisito per la fine del ciclo di vita dei dati personali
Ecco allora di seguito qualche spunto sui contenuti dei requisiti, e la nostra impressione dopo la prima lettura.
A. Requisiti generali
Tra le premesse dei requisiti generali della ISO 31700, vi è la necessità di rendersi consapevoli che il ciclo di vita dei dati personali, il ciclo di vita dei sistemi informativi, e il ciclo di vita dei prodotti e dei dispositivi utilizzati per trattare i dati, non sempre corrispondono. In ogni caso, una progettazione sicura deve partire dalla comprensione sia delle caratteristiche dei componenti materiali (es. dispositivi, hardware) sia degli elementi immateriali (es. dati, informazioni) del trattamento di dati.
Occorrerà senza dubbio una certa organizzazione interna all’azienda per garantire a più livelli il rispetto dei diritti alla privacy del consumatore (accountability, trasparenza e minimizzazione, security, gestione di ruoli e competenze, formazione, ecc.). Ma da questo punto di vista, la ISO 31700 non si allontana troppo dalla direzione verso cui guardano anche i principi fondamentali del GDPR.
Sicuramente, assume un approccio più esplicito verso:
- il coinvolgimento diretto del consumatore, suggerendo anche attività volte a evitare errori del consumatore stesso (es. istruzioni sull’utilizzo di funzioni del prodotto che possano provocare una inconsapevole condivisione di dati);
- una prospettiva “consumer-centered”, valutando in fase di progettazione non solo le competenze e le possibilità, ma anche le potenziali disabilità dei consumatori, nell’ambito della loro interazione con le funzioni del prodotto (compresi i controlli sulla privacy).
B. Requisiti di comunicazione con i consumatori
Tutta la seconda categoria di requisiti della 31700 è orientata alla trasparenza. L’obiettivo è quello di facilitare un processo decisionale sicuro e informato da parte del consumatore prima dell’acquisto, e durante l’utilizzo (in particolare in casi di incidenti che coinvolgono la privacy, o modifiche alle condizioni o alle finalità dei trattamenti). Il GDPR ci ha già abituati all’importanza dell’informativa ex art. 13, e alla necessità di rendere le informazioni realmente accessibili (ad esempio, badando alla lingue con cui sono preparate le comunicazioni, o alla necessità di tenere in considerazione categorie di interessati più vulnerabili come minorenni o anziani con ridotte competenze digitali).
[vedi anche “NO LEGALESE, WE PROMISE”: principio di trasparenza e legal design]
Ma nella ISO 31700, in maniera particolarmente marcata, la trasparenza non si declina nella sola “privacy policy”. Le attività volte a informare e comunicare con il consumatore possono assumere varie forme. Alcuni esempi? Design di interfacce, pagine di istruzioni e documenti sul prodotto, iniziative commerciali e di marketing. E ancora, sezioni F.A.Q., pagine di avvisi ai consumatori, servizi di assistenza, ecc.
Il tutto, per estendere le responsabilità sulla corretta presentazione del prodotto/servizio, e dei trattamenti di dati connessi al suo utilizzo. Si parla, ad esempio, dell’importanza di considerare la c.d. “eredità digitale” (consentendo al consumatore di apprendere le scelte che può adottare sui propri dati anche in caso di decesso). O di definire, prima del ritiro di un prodotto dal mercato, un periodo transitorio di informazione ai consumatori. In questa fase, si potranno dare indicazioni ad esempio, sui prodotti alternativi disponibili, sul protrarsi di trattamenti di dati da parte dell’azienda, ecc.
C. Requisiti per la gestione del rischio
Non ci può essere privacy-by-design senza adottare un approccio ai trattamenti basato sul rischio. E la gestione del rischio nel contesto della ISO 31700 somiglia molto a quanto richiesto dal GDPR. Si può quasi ritenere che sia una declinazione e un insieme dei requisiti dell’art. 32 GDPR in tema di sicurezza del trattamento, dell’art. 35 in tema di valutazione d’impatto, dell’art. 28 sulla gestione dei rapporti con i soggetti esterni coinvolti nel trattamento. Le operazioni di risk management, quindi, saranno orientate a valutare, prevenire, mitigare, trasferire i rischi, considerando le conseguenze dell’esposizione dei consumatori ai prodotti in questione. E come per il GDPR, l’attenzione dovrà essere rivolta ai rischi per l’interessato, quindi il consumatore (N.B. e non ai rischi per l’azienda!).
In linea con l’attenzione al consumatore che caratterizza lo standard, poi, la ISO 31700 rende maggiormente esplicita l’attenzione a tutta la catena di fornitura. Non è infrequente, d’altronde, che i prodotti di consumo prevedano il coinvolgimento di vari soggetti all’interno di un ecosistema informativo anche molto allargato. [ved. Il trattamento dati in un contratto di fornitura: cosa non fare.]
Interessante notare, infine, come sia stato recuperato il concetto di resilienza, più vicino alla cybersecurity che alla privacy. Si evidenziano quindi il valore e l’importanza della capacità di un’azienda di prevenire, rilevare, recuperare e riprendersi dalle interruzioni di servizio che possono avere un impatto sui dati personali.
D. Requisiti di sviluppo, implementazione e gestione dei controlli sulla privacy
Con l’espressione “privacy control”, la ISO 31700 indica azioni di salvaguardia, misure e contromisure che consentono di mitigare i rischi per la privacy. Nel complesso degli 8 requisiti in questa categoria, di fatto, lo standard presenta una serie di indicazioni di alto livello per la progettazione, lo sviluppo, la distribuzione e la gestione di tali controlli, nel corso del ciclo di vita di un prodotto.
Oltre ad alcuni riferimenti alla corretta gestione delle eventuali violazioni di dati [ved. anche Data Breach: come valutare il rischio per gli interessati e l’obbligo di notifica? e Il fattore umano nei Data Breach: il comportamento dei dipendenti critico per il GDPR], e all’adozione di misure di minimizzazione integrata nelle attività di customer support, la maggior parte degli spunti ci riporta a un generale principio di accountability, che ben conosciamo come pilastro del GDPR.
La verità, forse, è che è impossibile definire le pratiche di sicurezza idonee senza conoscere il contesto. Difficile spingersi oltre la più volte ribadita necessità di integrare le pratiche di gestione della privacy all’interno di tutti gli altri processi. Perché di fatto, queste stesse pratiche varieranno in base alle esigenze di ogni contesto specifico. Varieranno rispetto al segmento di mercato del prodotto, alle tipologie di trattamenti di dati messi in atto, alle categorie di dati trattati, alle tecnologie utilizzate, e numerosi altri fattori.
E. Requisiti per la fine del ciclo di vita dei dati personali
L’entrata in vigore del GDPR ha portato importanti restrizioni in tema di data retention. Al contempo, tuttavia, il principio di limitazione della conservazione ha margini interpretativi relativamente ampi, che si rilevano nelle frequenti difficoltà operative delle organizzazioni a organizzare le proprie strategie di cancellazione o anonimizzazione dei dati personali.
Pur non compensando questo gap del GDPR, la ISO 31700 ha il merito di analizzare varie eventualità da considerare fin dal momento della progettazione:
- il momento del ritiro o dismissione del prodotto dal mercato
- l’eliminazione delle attività di supporto prima della fine dell’uso previsto da parte del consumatore
- il ruolo attivo dei consumatori che possono smaltire, trasferire, vendere o continuare a utilizzare i prodotti dopo la cessazione del supporto
- il passaggio di prodotti da consumatore e consumatore (es. regali, seconda mano)
- il protrarsi del trattamento di dati da parte dell’azienda dopo il termine dell’utilizzo di un prodotto da parte del consumatore
- la sospensione delle attività da parte di un fornitore critico
- ecc.
Tra i punti di forza dello standard, quindi, c’è certamente il fatto di porre la giusta attenzione anche alla fine del ciclo di vita di un prodotto o di un servizio, per gli importanti impatti sulla privacy legati a questa fase.