Quando si applica Privacy by Design e cosa fare dopo

Privacy by Design si applica quando un team SaaS progetta, modifica o gestisce un prodotto, workflow, vendor, tool interno, pipeline dati o processo cliente che tratta dati personali. La risposta non e bloccare la delivery, ma decidere presto quali dati sono necessari, quali default sono appropriati, chi accede, per quanto tempo i dati restano, quali vendor partecipano e quali prove documentano la decisione.

L'articolo 25 GDPR richiede misure tecniche e organizzative adeguate e protezione dei dati per impostazione predefinita. Per default devono essere trattati solo i dati necessari alla finalita specifica. L'EDPB descrive questo obbligo come valido per tutto il ciclo di vita del trattamento.

Regola rapida

Privacy by Design si applica quando un cambiamento riguarda raccolta, uso, condivisione, visibilita, conservazione, cancellazione, profiling, analytics, export o riuso di dati personali.

Include nuovi campi, nuova visibilita interna, nuovi subprocessor, export, AI, cambi di retention, logica di cancellazione, monitoring o default modificati. Il trigger deve essere visibile in pianificazione prodotto.

Cambiamenti che attivano review

Nuove funzionalita richiedono review quando raccolgono dati, espongono dati esistenti in modo nuovo o creano visibilita interna. Esempi: onboarding, profili, dashboard, report, permessi, export, notifiche, analytics e controlli admin.

Contano anche i workflow interni: CRM, supporto, data warehouse, console admin, billing, customer success e debugging. La review deve seguire il flusso dei dati, non solo la schermata cliente.

Vendor, AI e DPIA

Un nuovo processor, vendor AI, tool supporto o piattaforma analytics puo cambiare finalita, accesso, trasferimenti, retention e cancellazione. Prima del go-live verifica categorie dati, subprocessor, contratti, sicurezza e supporto alla cancellazione.

Non ogni review richiede DPIA. Escala quando ci sono dati sensibili, minori, monitoraggio su larga scala, profiling, decisioni automatizzate, AI, retention insolita, ampio accesso interno, trasferimenti o riuso inatteso.

Cosa fare dopo

Metti il trigger dove nasce il lavoro: brief prodotto, ticket, architecture review, vendor intake, cambio data warehouse o release checklist.

Assegna poi i ruoli. Product possiede finalita, scope e default. Engineering possiede permessi, cancellazione, log e prove tecniche. Security verifica accesso. Legal o privacy interpreta e decide escalation. Compliance o operations mantiene prove e follow-up.

Documenta infine il minimo: feature, owner, finalita, categorie dati, interessati, accesso, vendor, default, retention, cancellazione, rischi, decisione, approvatore e posizione della prova. Collega il record al release gate.

FAQ

Quando si applica Privacy by Design?

Quando prodotto, workflow interno, vendor, pipeline dati, analytics, AI, supporto, export, permessi, retention o default tocca dati personali.

Cosa documentare prima?

Trigger e record di decisione. Poi correggi default, accessi, vendor, retention o lacune di cancellazione piu rischiosi.

Serve sempre approvazione legale?

No. Cambi a basso rischio possono avere un record breve. Rischi piu alti devono scalare presto a privacy, legal, security, vendor review, DPIA o accettazione executive.