APP e privacy... ora si fa sul serio
Da oggi cambia tutto.
Il Garante francese (CNIL) ha pubblicato un documento di raccomandazioni dedicato alla compliance delle APP. Una bomba, un fulmine a ciel sereno.
Sino ad oggi, ogni sviluppatore ha potuto fare spallucce e lasciare decidere all'azienda i requisiti tecnici relativi in conformità alle norme in materia di privacy. Comodissimo, anche perchè l'azienda è fatta di gente del marketing, gente dell'amministrazione, gente delle risorse umane, gente dell'IT, gente dell'ufficio legale, gente dell'amministrazione, gente come il DPO... tutta gente che non riesce a mettersi d'accordo e che, alla fine, decide sulla base di criteri arbitrari. Chi urla di più, ha ragione, e alla fine decide chi ci mette la faccia (o altre parti anatomiche).
Da oggi, con la guida del CNIL, diventa molto più difficile sentirsi liberi di inventare e, di fatto, perpetrare ogni nefandezza protetti dai soliti vecchi alibi: "lo fanno tutti", "il garante non si è espresso", "stiamo sperimentando", "siamo innovativi, "è un nuovo approccio basato sull'algoritmo di AI", "sono trattamenti tecnicamente necessari", "sono partner selezionatissimi", "sono autonomi titolari, noi non centriamo niente","ci teniamo molto ai dati dell'utente"... ops, lapsus, volevo dire "ci teniamo molto alla privacy dell'utente".
Con le sue poderose (quasi) 100 pagine, il documento del Garante francese sgombra il campo dalle incertezze e dalla malizia tipica del settore.
NB: ogni riferimento all'ittiologia è puramente intenzionale.
Ci vorrà un po' di tempo prima che le aziende si rendano conto che la portata del documento di raccomandazioni non può essere paragonata ad un pacato consiglio, ma è quella di una linea guida, non una best practice una vera e propria guida alla conformità normativa. Fare qualcosa di diverso sarà certamente possibile, ma non vorrei trovarmi nei panni di chi dovrà sostenerne la bontà.
Anche il fatto che l'autore sia oltralpe non aiuta alla comprensione di ciò che sta accadendo: i garanti si specializzano, si suddividono il lavoro, si dedicano ciascuno ad un aspetto della materia e, soprattutto, beneficiano reciprocamente del lavoro svolto. In altre parole, il Garante italiano potrà contestare ad uno sviluppatore italiano di aver violato il GDPR, basandosi sul confronto della APP con i requisiti indicati dalle linee guida (raccomandazioni) del CNIL.
Orrore...
ma noi siamo sovrani
come si permettono
è solo questione di interpretazione
impugneremo il provvedimento...
ok ok, caro sviluppatore, ma intanto che ti lamentavi hai realizzato una app non rispettosa del GDPR e lontana dallo stato dell'arte.
Eccolo il concetto fondamentale, ben noto a chi maneggia norme UNI ISO EN ECC... lo stato dell'arte.
Sviluppare una APP, ovunque nel mondo, se destinata a trattare i dati di persone europee, dovrà essere fatto tenendo le linee guida del CNIL sul tavolo, consultandole di continuo e, di fatto, adottandole come una nuova bibbia.
Il documento originale è disponibile a questo indirizzo:
Non escludo che il CNIL produca una versione del documento in inglese o in altre lingue. Per ora, il documento tradotto in italiano (in automatico - traduzione di cortesia) è qui:
https://drive.google.com/file/d/1dXbwnADtFpzl5h4rOcIYaBOhv4m3HzwD/view?usp=drive_link
Prosit