Privacy by Design e Privacy by Default
di Manuela Bianchi
Tra le novità introdotte da Regolamento n. 679/2016 (c.d. “GDPR”) vi è quella dell’introduzione nell’ordinamento europeo dei concetti di privacy by design e privacy by default, che richiedono al titolare del trattamento dei dati di pensare un sistema di sicurezza dei dati medesimi in un’ottica che ne preveda la protezione fin dalla sua progettazione.
La definizione di privacy by design fu coniata oltre venti anni fa da Ann Cavoukian, Privacy Commissioner dell’Ontario (Canada), e ripresa nel 2010 dalla 32° Conferenza Internazionale dei Garanti Privacy, tenutasi a Gerusalemme. In questa occasione, i partecipanti hanno rilasciato una risoluzione che contiene, tra l’altro, i principi fondamentali che contraddistinguono la privacy by design e che si possono così riassumere:
- prevenire e non correggere, perché i problemi vanno valutati nella fase di progettazione
- privacy come impostazione di default
- privacy incorporata nel progetto
- massima funzionalità nel rispetto di tutte le esigenze
- sicurezza durante tutto il ciclo del trattamento
- trasparenza
- rispetto per l’utente/interessato
L’intero apparato sistemico deve quindi mettere al centro l’utente, obbligando il titolare a una tutela effettiva e sostanziale del dato. In poche parole, non è sufficiente che la progettazione del sistema di sicurezza sia conforme alla norma se poi non è idonea a tutelare l’utente.
Come ha recepito il GDPR questi principi?
L’art. 25 GDPR, da leggere unitamente ai Considerando 75, 76 e 78, pur recependo i concetti, si scosta da quanto sopra riportato, e descrive un approccio basato sulla valutazione del rischio, con il quale si determina la misura di responsabilità del titolare e/o del responsabile del trattamento.
L’art. 25 GDPR indica alcune misure standard (pseudonimizzazione, minimizzazione) che dovranno essere integrate da tutte le altre necessarie garanzie idonee a soddisfare la tutela dei dati e la tutela/diritti dell’interessato richiesti dalla legge.
L’approccio basato sul rischio, unito alla “libertà” del titolare di progettare e determinare un sistema di sicurezza ritagliato in base alle sue esigenze, seppur con sempre presenti i requisiti e le finalità imprescindibili della normativa, si dimostra certamente più flessibile a adattabile allo sviluppo e al cambiamento delle esigenze e degli strumenti tecnologici.
Il principio di privacy by design va definito come un disegno ex ante delineato dal titolare del trattamento, che agisce quindi ora in prima persona, assumendosi la responsabilità del progetto informatico di sicurezza dei dati che va a predisporre sulla base dei requisiti indicati dalla legge. Il titolare, quindi, in base al fondamentale altro principio introdotto dal legislatore europeo, ossia quello di accountability (principio di responsabilizzazione), diventa attore, assumendosi ex ante la responsabilità delle misure di sicurezza che ritiene idoneo applicare nella fattispecie concreta, alla luce dell’esito dell’analisi del rischio effettuata. Il titolare crea, pertanto, prodotti e servizi che rispettino, sin dalla loro progettazione, le regole e i principi di protezione dei dati, in modo da minimizzare ex ante la raccolta dei dati medesimi e i trattamenti effettuati.
Il correlato principio di privacy by default impone al titolare di attuare specifiche misure che garantiscano un idoneo trattamento dei dati, personalizzato a seconda delle finalità che ci si prefigge e del tipo di operazioni che dovranno essere fatte. In particolare, è necessario garantire che (i) siano trattati di default solo i dati personali necessari per ciascuna finalità specifica del trattamento, (ii) la quantità dei dati raccolti e il periodo di conservazione non devono andare oltre il minimo necessario per perseguire la singola finalità specifica. In tal modo, dovrebbe essere garantita la massima protezione dei dati raccolti attraverso il loro minimo e indispensabile trattamento, ristretto al solo raggiungimento della finalità per la quale sono stati rilasciati. Ciò in base ai fondamentali principi di necessità, pertinenza, adeguatezza e non eccedenza rispetto alle finalità.
L’introduzione e l’applicazione dei due principi obbliga, quindi, gli enti a predisporre una valutazione di impatto privacy tutte le volte che avviano un progetto che preveda il trattamento dei dati.
Autore: