# Scheda n°0: Sviluppa rispondendo al GDPR #### Sia che tu lavori da solo, che tu sia parte di un gruppo di progetto, che tu gestisca un gruppo di sviluppatori, o che tu sia un fornitore di servizi che sviluppa per conto terzi, è essenziale che tu ti assicuri che i dati degli utenti e tutti i trattamenti di dati personali siano sufficientemente protetti durante tutto il ciclo di vita del progetto. Questi passi ti aiuteranno a sviluppare applicativi e siti web che siano privacy-friendly: 1. **Sii consapevole dei principi cardine del GDPR**. Se lavori in un team, raccomandiamo che tu identifichi una persona responsabile di monitorare la compliance. Se la tua azienda ha un RPD/DPO (Responsabile della Protezione Dati/Data Protection Officer) allora quella persona è una risorsa fondamentale per [comprendere e rispondere agli obblighi del GDPR](https://www.cnil.fr/sites/default/files/atoms/files/guidelines_on_dpos_5_april_2017.pdf). La nomina di un RPD in alcuni casi potrebbe essere obbligatoria, per esempio se i tuoi programmi o le tue app trattano dati cosiddetti “particolari” (vedi [esempi](#Scheda_n°1:_Individuare i dati personali)) su larga scala o se effettuano monitoraggi regolari e sistematici su larga scala o se lavori per una pubblica amministrazione. 2. **Mappa e categorizza i dati e i trattamenti nel tuo sistema**. Una mappatura accurata dei trattamenti effettuati dal tuo programma o app ti aiuterà a garantire che rispondano ai requisiti di legge. Mantenere un [registro delle attività di trattamento](https://www.cnil.fr/en/record-processing-activities) (un esempio lo puoi trovare sul [sito di CNIL](https://www.cnil.fr/sites/default/files/atoms/files/record-processing-activities.ods)) ti permette di avere una visione d’insieme di questi dati, e di individuare e prioritizzare i rischi associati. Peraltro, dati personali potrebbero essere presenti in posti inattesi come server log, file di cache, file Excel, ecc., o potrebbero essere archiviati in una quantità di luoghi diversi. Nella maggior parte dei casi, la tenuta di un registro di questo tipo è obbligatoria. 3. **Prioritizza le azioni necessarie**. Sulla base del registro delle attività di trattamento, identifica prima dello sviluppo le azioni necessarie per rispondere agli obblighi del GPDR e prioritizza i punti di attenzione relativi ai rischi per gli interessati dal trattamento. Questi punti di attenzione riguardano in particolare [la necessità e i tipi di dati raccolti e trattati](#Sheet_n°7:_Minimize_the_data_collection) dal tuo software, [le basi giuridiche](#Sheet_n°15:_Take_into_account_the_legal_basis_in_the_technical_implementation) su cui si basano le tue operazioni di trattamento, [le informative](#Sheet_n°12:_Inform users) del tuo software o app, [le clausole contrattuali](#Sheet_n°5_:_Make_an_informed_choice_of_its_architecture) che ti legano ai tuoi fornitori, i termini e le condizioni per [esercitare i diritti](#Sheet_n°13:_Prepare_for_the_exercise_of_people_rights), e le misure implementate per [la sicurezza dei trattamenti](#Sheet_n°6:_Secure_your_websites,_applications_and_servers). 4. **Gestisci i rischi**. Quando determini che un trattamento di dati personali può creare rischi elevati per gli interessati, assicurati di gestire i rischi in modo appropriato al contesto. Un [Privacy Impact Assessment (PIA) ](https://www.cnil.fr/en/privacy-impact-assessment-pia) può aiutarti a gestirli. La CNIL ha sviluppato un [metodo](https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-1-en-methodology.pdf), dei [modelli di documento](https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-2-en-templates.pdf) e un [tool](https://www.cnil.fr/en/open-source-pia-software-helps-carry-out-data-protection-impact-assesment) che ti aiuteranno a individuare i rischi nonché un [catalogo di buone pratiche](https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-3-en-knowledgebases.pdf) che ti assisterà nella implementazione delle misure per rispondere ai rischi che avrai identificato. Inoltre, un Privacy Impact Assessment è obbligatorio per tutti quei trattamenti che possono creare rischi gravi peri diritti e le libertà degli interessati. Lo CNIL propone, sul suo [sito](https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-aipd-requise.pdf), un elenco dei tipi di trattamento per i quali un Privacy Impact Assessment è obbligatorio. Un analogo elenco è disponibile sul sito del Garante. 5. **Attiva dei processi interni** per garantire la compliance durante tutte le fasi dello sviluppo, assicura che ci siano procedure interne per garantire che la protezione dei dati sia tenuta in conto in tutti gli aspetti del progetto e a fronte di qualsiasi evento possa verificarsi (ad es. falla di sicurezza, risposta a richieste di rettifica o di accesso, modifica dei dati raccolti, cambio di fornitore, trafugamento di dati, ecc.). I requisiti alla base dell’[etichetta di governance](https://www.cnil.fr/sites/default/files/typo/document/CNIL_Privacy_Seal-Governance-EN.pdf) (anche se non viene più rilasciata da CNIL dopo l’entrata in vigore del GDPR) possono costituire una utile base per aiutarti a definire le necessarie misure organizzative. 6. **Documenta la compliance dello sviluppo** per dimostrare in ogni momento la tua compliance al GDPR: ci deve essere piena consapevolezza delle azioni compiute e dei documenti prodotti a ciascuno stadio dello sviluppo. Questo implica in particolare la periodica revisione e l’aggiornamento della documentazione così da renderla sempre consistente con le caratteristiche del tuo programma. Il sito di CNIL fornisce numerosi esempi pratici che ti assisteranno, a seconda del tuo settore di attività, nella definizione di trattamenti dati rispondenti alla legge.