Con l’entrata in vigore del Regolamento europeo sulla Privacy (GDPR) sono stati definitivamente sanciti due principi fondamentali della nuova disciplina sulla protezione dei dati personali: Privacy by Design e Privacy by Default, letteralmente “Protezione dei dati fin dalla progettazione” (Privacy by Design) e “Protezione dei dati per impostazione predefinita” (Privacy by Default).
Tali principi, previsti dall’art. 25 del GDPR, vanno inquadrati nel contesto del pilastro su cui poggia l’intero impianto del Regolamento UE 679/2016: l’accountability, ovvero la “responsabilizzazione” di coloro i quali trattano dati personali nell’ambito di un’attività professionale o imprenditoriale (cfr. art. 24 GDPR).
Privacy by Design
Il principio “Privacy by Design” impone a ogni titolare di ottemperare alla normativa a tutela dei dati personali partendo dalla progettazione dei processi e delle attività di trattamento, nonché degli strumenti (ivi compresi i sistemi informatici) preposti alla raccolta e alla gestione dei dati stessi.
Il primo comma dell’articolo 25 così stabilisce:
“Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.”
In sostanza, si richiede al titolare del trattamento di adottare misure tecniche e organizzative adeguate per attuare in modo efficace i principi di protezione dei dati (es. la minimizzazione) sin dalle prime fasi di progettazione, oltre che nel corso del trattamento.
Questo principio ha radici profonde. Già negli anni ‘90 ci si era infatti resi conto del forte impatto che avrebbero avuto le nuove tecnologie sulla privacy degli utenti (anche quelle a protezione dei dati: c.d. Privacy Enhancing Technologies). Il principio Privacy by Design, già presente nelle legislazioni di USA e Canada, è stato elaborato e formalmente adottato nel 2010 nel corso della 32ma Conferenza mondiale dei Garanti privacy. Una prima definizione fu coniata da Ann Cavoukian, Privacy Commissioner dell’Ontario (Canada).
I principi alla base del “sistema Privacy by Design” sono i seguenti:
- prevenire e non correggere: i rischi privacy vanno valutati nella fase di progettazione, e qualunque sistema o processo deve essere progettato in modo tale da prevenire eventi negativi e di violazione dei dati personali (proattivo, non reattivo);
- privacy per impostazione predefinita: il sistema deve essere progettato per garantire la massima protezione possibile dei dati personali dell’utente, senza necessità per quest’ultimo di attivarsi per ottenere tale risultato;
- privacy incorporata nella progettazione: le misure a protezione dei dati personali devono essere incluse nel sistema dal punto di vista progettuale e architetturale, quali sue componenti essenziali;
- massima funzionalità: il sistema deve soddisfare tutti gli obiettivi e gli interessi in gioco, in una logica win-win e non a somma zero;
- sicurezza “end-to-end”: protezione durante tutto il ciclo di vita del dato;
- visibilità e trasparenza: tutte le fasi del trattamento devono essere trasparenti in modo che sia verificabile l’effettiva protezione dei dati rispetto agli obiettivi e alle finalità dichiarate dal titolare del trattamento;
- centralità dell’utente: il sistema deve garantire il rispetto dei diritti dell’interessato e la loro effettività, fornendo all’utente strumenti adeguati a tal fine.
La perfetta sintesi di questi sette principi della Privacy by Default è proprio nella logica dell’accountability: qualunque sistema deve essere pensato per l’utente, garantendo una protezione dei dati dal punto sostanziale e non formale.
Non è sufficiente che la progettazione del sistema sia conforme alla norma, se poi l’utente non è tutelato in concreto.
Privacy by Default
Il principio di Privacy by Default (protezione per impostazione predefinita) impone a tutti i titolari di trattare solo ed esclusivamente i dati personali necessari per perseguire le finalità dichiarate, e per il periodo strettamente necessario a tal fine.
Occorre, quindi, che il sistema di gestione privacy garantisca la minimizzazione dei dati raccolti.
Ciò significa che tutte le valutazioni del titolare del trattamento, in termini di protezione dei dati personali, devono essere effettuare “a monte”. Anche per questo, come si è visto, Privacy by Default e Privacy by Design sono concetti strettamente connessi l’un l’altro.
Il comma 2 dell’art. 25 GDPR recita così:
“Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.”
Il titolare del trattamento è dunque chiamato a svolgere un’analisi preventiva della situazione e ad adottare un approccio pratico che si dovrà concretizzare in una serie di attività specifiche e dimostrabili.
Le misure tecniche e organizzative implementate dal titolare dovranno ridurre al minimo i dati personali oggetto di trattamento, garantendo ove possibile la pseudonimizzazione dei dati stessi, nonché la massima trasparenza sulle finalità e sulle modalità del trattamento. È essenziale che l’interessato abbia la possibilità di esercitare in concreto i propri diritti di accesso e controllo sul trattamento, come previsto dal Regolamento privacy.
Questo approccio deve essere mantenuto in tutte le fasi del trattamento: non solo nella fase di sviluppo e progettazione del sistema o del processo, ma anche in fase di raccolta, selezione e utilizzo dei dati personali, sempre alla luce di un’attenta analisi dello specifico contesto di riferimento.
Certificazioni
Il terzo comma dell’art. 25 del Regolamento incoraggia l’utilizzo di appositi meccanismi di certificazione della protezione dei dati personali, aventi la precisa funzione di consentire ai titolari e ai responsabili di dimostrare la conformità dei trattamenti effettuati anche ai principi Privacy by Design e Privacy by Default.
Tali certificazioni non riducono in ogni caso la responsabilità con riguardo all’effettiva conformità al Regolamento e lascia impregiudicati i compiti e i poteri delle Autorità di controllo. Ciò significa che, per poter soddisfare i due principi previsti dall’art. 25 GDPR, è sempre necessario effettuare in concreto un’analisi preliminare sul progetto di trattamento e, successivamente, periodiche verifiche sulla conformità del trattamento stesso.
In estrema sintesi: nell’ambito del nuovo approccio europeo alla privacy, il titolare del trattamento deve sempre assicurarsi di essere in grado di dimostrare l’adozione di “misure tecniche e organizzative adeguate” per attuare i principi di protezione dei dati alla base del Regolamento UE, sin dalla progettazione e per impostazione predefinita.
