L’influenza della privacy sui progetti ICT

• Primo Piano
• Venerdì, 12 Maggio 2023 18:29

La crescente informatizzazione nel mondo richiede la necessità di attivare delle modalità di approccio, definizione e gestione congrue e attuali. Il trattamento del dato personale ha assunto nel tempo una notevole importanza dovuta proprio alla crescita dei processi di digitalizzazione con conseguente memorizzazione su archivi digitali. Spesso il fattore della nascita e/o della crescita delle esigenze di business non è dovuto ad un solo aspetto bensì a più aspetti, tra cui la novità e il rinnovamento.

Per questi ultimi, ma molto probabilmente anche per gli altri, c’è la necessità di gestire dei progetti, un programma di progetti e/o un portfolio di progetti. Concentrandosi solo sul progetto, che per definizione è una iniziativa temporanea intrapresa per creare un prodotto, un servizio o un risultato con caratteristiche di unicità, è fondamentale avvalersi di un framework di project management per la sua gestione.

Esso permetterà durante le fasi del progetto di applicare ed utilizzare in modo adeguato ed opportuno tutte le aree di conoscenza costituenti lo stesso framework. Il project manager, che è la figura incaricata della gestione del progetto, per buona pratica e in particolare per tutti i progetti afferenti all’ICT deve sempre, oltre a trattare l’argomento per il quale il progetto è nato, valutare le influenze dovute alla privacy.

Le influenze della privacy nel progetto ICT sono molte ma, in questo contesto, ci limiteremo ad evidenziare due assunti e due requisiti che dovrebbero essere sempre presenti nel piano di project management.

Dal Regolamento UE 2016/679 (più avanti Regolamento o GDPR) un primo determinante requisito è il principio di “privacy by design e by default” come all’Art. 25 del GDPR, cioè garantire la Privacy sin dalla progettazione e per impostazione predefinita. Il secondo requisito è dato dall’art. 32 comma 1 lettera c del Regolamento che fa riferimento alla capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; intrinsecamente concorrono all’obiettivo anche i concetti di riservatezza, continuità, disponibilità e resilienza come alla lettera b dell’art. 32 comma 1.

I due assunti sono da considerare entrambi nella gestione degli stakeholder e riguardano due importanti stakeholder di progetto. Il primo assunto riguarda la responsabilizzazione dello Sponsor del progetto, anche detto Titolare del trattamento come determinato al comma 2 dell’Art. 25 del Regolamento UE: il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.

A sottolineare ed integrare quanto determinato dall’Art. 25 è il Garante per la Protezione dei Dati Personali che al punto 5 del Provvedimento n. 81 del 7 Marzo 2019 scrive, nel tenore letterale dell’art. 25 del Regolamento, il rispetto del principio di privacy by design e by default è inteso come obbligo in capo ai soli titolari del trattamento. Inoltre, al punto 5 del Provvedimento n.81 si ottiene anche il secondo assunto: il Garante incoraggia il produttore del servizio “a tenere conto del diritto alla protezione dei dati” ed “a far sì che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati”, come previsto dal considerando 78 del Regolamento.

È chiaro che il comportamento proattivo e la prevenzione sono gli atteggiamenti che l’Autorità si aspetta dai titolari del trattamento, ma non si ferma e si attende che tutti gli stakeholder di progetto contribuiscano a fare in modo che il titolare del trattamento adempia agli obblighi di protezione dei dati.

Il project manager, durante la conduzione del progetto ICT, potrà considerare come punto di partenza i due assunti e i due requisiti documentati nel piano di project management ma sarà durante la definizione dell’ambito che dovrà approfondire le influenze dovute alla privacy. Per tale scopo il Project manager dispone di diversi strumenti e tecniche, vedi l’utilizzo del parere degli esperti, cioè coinvolgere durante la fase di analisi le figure professionali quali CIO, Amministratori di Sistema, CISO, Compliance Manager, Data Protection Officer ed altri. Oppure può avvalersi della DPIA come strumento per la valutazione dell’impatto privacy e quindi individuare altri rischi ed opportunità più specifici oltre a quelli contenuti nel piano di project management, e così via.

In conclusione, a supporto dell’analisi dell’ambito potrebbe essere necessario effettuare delle valutazioni sulle scelte tecnologiche, di cybersecurity, di misure tecniche, di misure organizzative, e simili. In ogni caso l’analisi deve essere svolta nella proporzione come descritta al comma 1 dell’Art. 25 del Regolamento, tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.