Privacy by Design

Eleva i tuoi Standard di Protezione dei Dati

Scopri il Valore e l’Impatto della Privacy-By-Design

Se stai realizzando un prodotto o un servizio che prevede il trattamento di informazioni personali, la normativa europea sulla privacy (GDPR) ti richiede di svilupparlo mettendo al centro la protezione di queste informazioni.
La Privacy By Design è quell’insieme di processi e misure tecniche che ti permette di farlo. Ed è diventata un vero e proprio requisito legale!

È molto utile perché:

1. Rafforza la fiducia e la soddisfazione degli utenti

Così dimostri agli utenti che dai valore alla loro privacy. Il 94% delle aziende afferma che i clienti sono decisi a non acquistare più i loro prodotti se non ricevono rassicurazioni sulla protezione dei propri dati (fonte: Cisco 2023 Data Privacy Benchmark Study).

Così dimostri agli utenti che dai valore alla loro privacy. Il 94% delle aziende afferma che i clienti sono decisi a non acquistare più i loro prodotti se non ricevono rassicurazioni sulla protezione dei propri dati (fonte: Cisco 2023 Data Privacy Benchmark Study).

2. Mitiga possibili Data Breach

Così proteggi la tua azienda da possibili fughe di dati con un approccio alla sicurezza basato su metodologie testate e riconosciute.

Così proteggi la tua azienda da possibili fughe di dati con un approccio alla sicurezza basato su metodologie testate e riconosciute.

3. Protegge l’immagine della tua azienda

Così identifichi in modo proattivo ogni potenziale minaccia e difendi la reputazione del tuo brand contro i possibili danni reputazionali derivanti da una cattiva gestione dei dati.

Così identifichi in modo proattivo ogni potenziale minaccia e difendi la reputazione del tuo brand contro i possibili danni reputazionali derivanti da una cattiva gestione dei dati.

Sei ancora scettico?

Ecco alcuni esempi reali che abbiamo affrontato in questi anni:
(per motivi deontologici non possiamo menzionare le aziende coinvolte)

Scatti sicuri:

Un’APP di check-in automatizzato per gli hotel richiede agli utenti che soggiornano nelle strutture di scattare una serie di foto per rappresentare lo stato attuale della stanza e dimostrare l’assenza di danni; tuttavia, gli utenti spesso sono inclini ad inquadrare gli altri ospiti e talvolta anche gli addetti alla pulizia.

La nostra soluzione:

Per mitigare questo rischio e minimizzare la conservazione di dati personali non necessari, abbiamo suggerito agli sviluppatori di inserire un pop-up prima dello scatto effettuato all’interno dell’App, ricordando di non inquadrare persone.
Una soluzione adeguata al rischio -ritenuto comunque basso-, e certamente meno costoso di altre soluzioni tecniche come il blurring della foto in fase di post-produzione.

Un po' di mistero:

Un’APP di ride-hailing permette ai driver di inserire recensioni sugli utenti che conducono a destinazione. Con poche reviews e quindi con poche tratte effettuate, potrebbe essere semplice per l’utente risalire al driver che è stato autore di una recensione negativa. Oltre al rischio di identificazione è stato riscontro anche un rischio “blackmail”, di minaccia nei confronti dei driver. Peraltro, questo episodio si era già verificato con altre App analoghe.

La nostra soluzione:

In fase di sviluppo è stato raccomandato di “nascondere” le recensioni ai rider-utenti, fino a che quest’ultimi non avessero ricevuto cumulativamente almeno 10 recensioni da diversi driver.  In questo modo è stato mitigato il rischio di identificazione mantenendo il dato nascosto fino a che diventa realmente aggregato.

Privacy vocale:

Gli sviluppatori di un sistema operativo mobile offrono funzionalità di riconoscimento vocale. In precedenza, questo comportava l’invio dell’audio vocale a sistemi cloud centralizzati per l’elaborazione.

La nostra soluzione:

Alla luce dei recenti sviluppi AI in ambito di deep-fake che permettono anche l’imitazione della voce con possibili furti di identità è stato studiata una soluzione alternativa per evitare la conservazione della voce, mantenendo però la funzionalità di riconoscimento. Ora, i frammenti vocali vengono infatti elaborati direttamente sul telefono dell’utente e convertiti in stringhe di testo interpretate dal sistema operativo stesso. Nessuna voce verrà più conservata sui server dell’azienda che ha sviluppato il sistema operativo.

Sicurezza educativa:

All’interno di un software adottato dalle scuole primarie, gli alunni con Bisogni Educativi Speciali, secondo normativa ministeriale, sono identificati con l’acronimo BES. La percentuale generalmente bassa di tale categoria di alunni all’interno di un istituto potrebbe permettere una facile identificazione degli stessi, per chi ha una conoscenza del contesto scolastico ed accede a queste informazioni sensibili in modo malevolo.

La nostra soluzione:

Per limitare questo rischio è stato aggiunto un ulteriore layer di sicurezza, in fase di conservazione a riposo del dato: vale a dire un codice randomico che cripta il dato e che all’occorrenza viene de-criptato su richiesta di chi dimostra di avere le autorizzazioni per visualizzarlo.

La nostra metodologia

Anni di esperienza sul campo a fianco di aziende, software house e start-up innovative, ci hanno permesso di testare e migliorare la nostra metodologia di privacy by design basata su standard internazionali riconosciuti.

Stage 1.
PRIVACY FOUNDATIONS

All’inizio del progetto, è fondamentale riconoscere le implicazioni più ampie della privacy nel design del prodotto. Dare priorità alla protezione dei dati significa affrontare i rischi per i diritti e le libertà degli utenti, ragionando sull’impatto che il progetto ha nei loro confronti.

Attività:
  • Condurre una o più sessioni di audit:

    Per raccogliere più informazioni possibili sul progetto (Applicazione, sistema AI, software gestionale ecc…) che si intende sviluppare o implementare;

  • Verificare il progetto attuale del Cliente:

    Per identificare le misure e le lacune esistenti in termini di protezione dei dati (c.d. gap analysis);

  • Definire obiettivi e finalità del Progetto:

    Avere una visione condivisa sul “purpose” è un elemento essenziale per includere più facilmente la protezione dei dati nel design del Progetto ed eliminare possibili tensioni;

  • Mappare le informazioni di cui si ha davvero bisogno:

    In questa fase è essenziale identificare tutti i dati che saranno trattati dal software e/o applicazione.

  • KPI:

    Completare un primo assessment iniziale; identificare lacune esistenti; mappare tutti i dati personali coinvolti; definire obiettivi e finalità del progetto.

  • STAKEHOLDERS:

    Project Manager; DPO, CISO; CEO o altri membri del board.

  • OUTPUT:

    Verbale di audit con gap analysis e prime soluzioni di privacy by design.

Stage 2.
PRIVACY THREAT MODELLING

Nella seconda fase, inizieremo a costruire e strutturare il Privacy Threat Modeling, una componente chiave per identificare e mitigare i potenziali rischi privacy del progetto.

Attività:
  • Identificare “le persone a rischio" e gli "attori di minacce":

    Per valutare in modo sistemico i rischi in base alle caratteristiche del prodotto e alle interazioni con l’utente.

  • Classificazione dei “privacy harms”:

    Per identificare le attività di trattamento di dati personali che hanno di per sé un potenziale rischio privacy e che, pertanto, possono condurre ad una successiva violazione di dati personali,

  • Sviluppo di strategie di controllo:

    L’obiettivo è concentrarsi sia su soluzioni tecniche che su approcci di tipo procedurale in un dialogo costante con gli sviluppatori e il project managerper determinare le contromisure necessarie a mitigare i rischi privacy identificati.

  • Analisi di giurisprudenza applicabile al contesto:

    Nella identificazione dei Controlli sarà importante includere una analisi specifica di provvedimenti delle Autorità competenti e di linee guida applicabili in ambito privacy.

  • KPI:

    Definizione del Privacy Threat Modelling e definizione delle strategie privacy by design di controllo per eliminare o mitigarepossibili “privacy harms”.

  • STAKEHOLDERS:

    Project Manager, DPO, CISO e/o Cyber Experts, UXDesigners, Data Scientists, Data Engineer, Software developers, Risk Managers.

  • OUTPUT:

    Documento di analisi Privacy By Design che include: ilPrivacy Threat Modelling; l’Analisi dei Rischi Privacy; L’elenco delle strategie privacy by design condivise con il team di lavoro.

Stage 3.
IMPLEMENTATION AND REVIEW

Questa fase comprende una fase di test, la condivisione dei feedback degli utenti per un miglioramento delle soluzionia dottate ed una comunicazione chiara delle politiche sulla privacy per mettere in risalto i punti di forza, favorendo la fidelizzazione degli utenti a lungo termine.

Attività:
  • Visionare l’implementazione delle strategie:

    In questa fase diventa cruciale collaborare con i tecnici e gli esperti di sicurezza.

  • Definire una politica sulla privacy:

    Avere procedure e controlli di alto livello senza comunicarli all’esterno è un vero peccato.

  • Redigere tutti i documenti privacy rilevanti:

    Tra questi possiamo citare: informative privacy, nomine Data Processor; diciture di notifiche e pop-up; gestione consensi.

  • Apportare eventuali modifiche post-lancio:

    Con riguardo alle soluzioni tecniche e procedurali implementate raccogliendo feedback degli utenti e dati aggregati sulle loro interazioni;

  • Garantire il monitoraggio continuo:

    L’aggiornamento delle soluzioni privacy by design adottate con il rilascio di nuove versioni del progetto;

  • KPI:

    Implementare sul progetto i controlli di sicurezza e procedurali che sono stati individuati in fase di analisi del rischio; produzione della documentazione necessaria; garantire modifiche in fase post-lancio.

  • STAKEHOLDERS:

    Project Manager, DPO, CISO e/o Cyber Experts, UXDesigners, Data Scientists, Data Engineer, Software developers, Risk Managers, Marketers, SEO specialists.

  • OUTPUT:

    Documentazione privacy pertinente; Documento di Analisi privacy by design aggiornato.

Perché scegliere BSD Legal?

La privacy e, in generale, la protezione dei dati personali è la nostra passione.

Una passione così forte che, qualche anno fa, alcuni dei nostri partners hanno fondato Privacy Network, un’associazione no-profit diventata ormai un punto di riferimento in Italia e non solo per la divulgazione di questi temi.

L’esperienza conta in un settore così specialistico.

Abbiamo ideato soluzioni di privacy-by-design per App, sistemi IA, gestionali e tanti altri prodotti in tanti settori anche relativi alle c.d.“infrastrutture critiche”, affrontando sfide e scenari sempre diversi.

L’approccio tailor-made su ogni nuovo progetto.

E non potrebbe essere diversamente. Di fronte ad una consulenza così specialistica, non ci può essere un altro approccio.

Perché adottare soluzioni Privacy-By-Design?

Ti riportiamo alcuni dati quantitativi:

  • Fornire un’esperienza utente positiva in termini di protezione dei dati aumenta del 43% la quota di preferenza di un marchio;
  • Ridurre il rischio di una violazione di dati personali (data breach) con strategie di privacy by design sta diventando vitale: Il costo medio globale di una violazione dei dati nel 2023 è stato di4,45 milioni di dollari, con un aumento del 15% su 3 anni;
  • Essere trasparenti nella politica di gestione dei dati aumenta la fiducia e quindi genera conversione: Il 79% dei consumatori ha dichiarato che sarebbe disposto a condividere le proprie informazioni personali con un’azienda di cui si fida in cambio di servizi personalizzati o sconti.
Come è nata la nostra metodologia?

Sul campo, partendo dai feedback dei nostri clienti.
Spesso abbiamo visto le aziende sopraffatte dalla difficoltà di concretizzare i principi di privacy-by-design, rinunciando ad una progettualità vitale per essere competitivi nell’attuale società delle informazioni. Ci siamo resi conto che le aziende non stavano evitando il tema, ma avevano bisogno di una guida, prima ancora che una consulenza.
Ma il risultato? Una metodologia di privacy-by-design strutturata in tre fasi ben definite, che accompagna l’azienda in un percorso condiviso che non solo salvaguarda i dati degli utenti ma si armonizza anche con gli obiettivi aziendali, raggiungendo il perfetto equilibrio tra protezione dei dati ed esigenze di business.

Sfatiamo un mito: la sicurezza non è privacy.
Un malinteso diffuso è quello di equiparare la sicurezza alla privacy.

Il raggiungimento di uno standard di sicurezza delle informazioni (fra tutti, la ISO 27001) non è sinonimo di un corretto trattamento dei dati personali. Senza sicurezza non c’è privacy, è vero. Ma questo non significa che siano due elementi sovrapponibili.

 

Qualche esempio?

  • Le misure di sicurezza proteggono il database di informazioni, costruendo le mura attorno per renderlo inattaccabile; la privacy è attenta al tipo di informazioni che vi sono all’interno e tendenzialmente richiede di eliminare quelle non necessarie;
  • La sicurezza nella condivisione di dati personali significa proteggere il canale di comunicazione da accessi interni e/o esterni non autorizzati; la privacy è attenta a quali dati sono condivisi, a come sono condivisi e verso chi sono condivisi;
  • Le policy di sicurezza sono redatte con lo sguardo rivolto ai possibili attacchi di minacce interne o esterne; le policy di privacy sono redatte mettendo al centro l’interessato cioè la persona fisica a cui appartengono i dati personali;
  • Una maggiore sicurezza non sempre coincide con una maggiore privacy dell’utente.

Privacy in Azione

In pochi secondi, vi raccontiamo aneddoti e storie diventate celebri con al centro il tema della protezione dei dati. Ma troverete anche pillole su nuove tecnologie che hanno avuto o che potranno avere un forte impatto in ambito di Privacy by Design.

CLIENTE FIDELIZZATO O CLIENTE SORVEGLIATO?
CONOSCI LE TECNOLOGIE AMICHE DELLA PRIVACY?
PRIVACY & NETFLIX: UNA LEZIONE IMPORTANTE
IL RUMORE COME ALLEATO DELLA PRIVACY
PIÙ PRIVACY, PIÙ PREGIUDIZI?
PRIVACY VIOLATA E STALKING: IL CASO FOURSQUARE

Vuoi saperne di più?

Invia un messaggio

Compila il form e scopri come possiamo aiutarti.