Dati personali e design: suggerimenti ed esempi per creare software e siti internet a prova di GDPR

Dopo aver realizzato un approfondimento relativo al design delle interfacce digitali, continuiamo ad approfondire il tema del GDPR applicato alla tecnologia e, più precisamente agli applicativi software e ai siti internet.
La CNIL (Garante Privacy francese), tramite il proprio Laboratorie d’Innovation de la CNIL (conosciuto come LINC) ha lanciato la piattaforma Données&Design, la quale ha l’obiettivo di creare un punto di riferimento per tutti quelli che devono progettare interfacce, servizi e prodotti digitali che rispettino la normativa sulla privacy e, in particolar modo, i diritti degli interessati.
Lo scopo è di realizzare una piattaforma che crea opportunità di collaborazione, condivisione di esperienze e opinioni per DPO, sviluppatori, progettisti e giuristi, con l’idea di diffondere la cultura della protezione dei dati personali e l'obiettivo di integrarla concretamente nel lavoro quotidiano di progettazione degli strumenti informatici.

I CONCETTI CHIAVE DEL GDPR

Tra i contenuti messi a disposizione sul portale, emergono innanzitutto le sezioni dedicate a tre concetti chiave del GDPR, dove, utilizzando un taglio pratico, sono presentate alcune soluzioni di progettazione, in linea con i principi di liceità e correttezza del trattamento di dati personali, che possono migliorare l’esperienza dell’utente.

1. Informazioni per gli interessati

La CNIL suggerisce come rendere la Privacy Policy immediata e facilmente reperibile, e come fare in modo che, in ogni pagina di un applicativo in cui siano richiesti dati personali, le informazioni e le indicazioni sul trattamento siano specifiche e agevolmente accessibili.
Molto interessante, poi, è la parte dedicata al linguaggio da utilizzare all’interno delle informative. L’art. 12, par. 1, del GDPR, infatti, afferma che le informazioni che il Titolare fornisce all’interessato devono essere: “[…] in forma concisa, trasparente, intellegibile e facilmente accessibile, con un linguaggio semplice e chiaro […]”. Un linguaggio troppo tecnico, oppure troppo “giuridico”, non rispetta la disposizione appena citata, sarà dunque necessario utilizzare un linguaggio semplice e di facile comprensione per essere veramente compliance, utilizzando tutti gli escamotage possibili per rendere realmente accessibili a tutti le informazioni (Tab. 1).



2. Espressione del consenso

In questa sezione vengono mostrate alcune applicazioni tecniche per assicurare la correttezza della raccolta del consenso, ad esempio attraverso il controllo delle spunte “obbligatorie”, che possono valere per l’accettazione delle condizioni generali di contratto ma non di ulteriori finalità di trattamento. Oppure, ancora, la configurazione dei chatbot, che devono poter contattare l’utente solamente in caso di effettiva interazione.
Viene, inoltre, ricordato l’obbligo di mantenere separate le diverse finalità di trattamento per cui si richiedono i consensi (Fig. 1).



3. Esercizio dei diritti

Secondo la nuova filosofia del GDPR, il Titolare deve agevolare il più possibile l’esercizio dei diritti da parte degli interessati. Il primo passaggio, indubbiamente, è rendere accessibili all’utente le informazioni sui propri diritti, fin dal momento dell’iscrizione o registrazione a un servizio. Successivamente, al fine di rendere realmente partecipe l’interessato, di renderlo consapevole del trattamento dei propri dati personali e della sua liceità (Considerando 63 GDPR), di permettergli di avere il controllo dei dati personali che lo riguardano (Considerando 7 GDPR), il Titolare deve dare riscontro all’interessato della presa in carico della sua richiesta e deve permettergli, ove possibile, di aver contezza dell’andamento della propria richiesta.
Particolarmente interessante, l’idea di sviluppare approcci più conformi al principio di trasparenza, che forniscano spiegazioni specifiche sui diversi diritti, e automatizzino il sistema di richiesta, senza limitarsi alla semplice messa a disposizione di un punto di contatto (Fig. 2).

UNO SPAZIO DI SCAMBIO DI OPINIONI ED ESPERIENZE

Molto stimolante è la parte della piattaforma dedicata allo scambio di esperienze e opinioni, all’interno della quale ci sono sezioni differenti per differenti scopi:

1. Veille, chat di scambio dedicata alla condivisione di provvedimenti, articoli, attualità e informazioni utilissime per rimanere costantemente aggiornati.
2. Événements, chat di scambio dedicata alla segnalazione di eventi dedicati al trattamento dei dati personali, in particolar modo nell’ambito del web e delle interfacce digitali.
3. Retours, chat di assistenza per porre domande circa i tools messi a disposizione dal LINC;
4. Général, chat di scambio di opinioni in generale.
5. Étude de cas, chat di scambio dedicata alla condivisione di casi concreti (con immagini allegate) sui quali si chiedono opinioni ad altri utenti. Quest’ultima pagina, rappresenta, a parere di chi scrive, il punto di forza della piattaforma di scambio.

Lo Studio Stefanelli&Stefanelli ha deciso di entrare subito a far parte della community, al fine proprio di osservare quali sono le pratiche utilizzate, le strategie adottate al fine di creare design digitali efficaci al loro scopo, ma sempre e comunque attenti a un trattamento dei dati personali lecito e corretto. L’obiettivo è monitorare costantemente le soluzioni innovative e privacy compliant che giungono d’oltralpe e dal resto dell’Europa.