Privacy by design e by default, cosa significa? Come adeguarsi? Cosa bisogna fare? Tutte le risposte alle domande che non hai mai osato fare durante il corso sulla privacy. Più difficile a dirsi che a capirsi.
Con il termine privacy by design e by default si intende la necessità di configurare tutti i trattamenti effettuati prevedendo fin dall’inizio, ossia prima del loro inizio, le garanzie necessarie a soddisfare i requisiti richiesti dal Regolamento UE, quindi tenendo conto sia del contesto del trattamento sia dei rischi che possono derivare per i diritti e le libertà degli interessati.
Il principio di Privacy by design e Privacy by default discende dal principio di accountability, che prevede che il titolare del trattamento sia responsabilizzato sulla corretta gestione del trattamento, ossia “sull'adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l'applicazione del regolamento”. (Garante privacy)
Privacy by design e Privacy by default: che cosa dice il GDPR
Il principio in oggetto viene inserito dall’articolo 25 GDPR e prevede che “[…] sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate […] volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”. Al secondo comma, lo stesso articolo prevede che tali misure tecniche e organizzative siano messe in atti per impostazione predefinita e che vengano trattati esclusivamente i dati personali necessari alle finalità del trattamento.
Con tale articolo si è voluto imporre ai titolari di prevedere e predisporre le misure necessarie alla corretta gestione e sicurezza del trattamento.
Privacy by design e Privacy by default: che cosa significa per davvero l’Articolo 25 del GDPR
In ogni caso, l’articolo, come anche il Considerando 78 del GDPR, potrebbero risultare un po’ oscuri ai profani.
Forse è importante sottolineare, a questo proposito, che con “Privacy by design” si intende la progettazione del trattamento dalla A alla Z comprensivo anche dell’analisi del rischio, quindi la scelta degli strumenti da utilizzare, le misure di sicurezza da adottare, il metodo di raccolta dei dati, e così via, mentre con “Privacy by default” si intende il fatto che il titolare deve raccogliere solamente i dati strettamente necessari alla finalità del trattamento.
Privacy by design e Privacy by default: per iniziare un nuovo trattamento cosa devo fare?
Nel caso si voglia attuare un trattamento nuovo è necessario, ai fini privacy, procedere per step, rispondendo per esempio anche ad alcune domande fondamentali:
Quale trattamento voglio fare?
Di quali dati personali ho bisogno?
Quali strumenti userò per il trattamento?
Quali misure tecniche è organizzative userò?
Effettuare un’analisi preventiva sui rischi derivanti dal trattamento
In base al risultato dell’analisi preventiva dei rischi, le misure adottate sono sufficienti?
Predisporre la documentazione (es. aggiornamento del registro dei trattamenti, predisposizione delle informative, predisposizione delle lettere di autorizzazione, etc)
Avviare il trattamento.
Non si tratta di un elenco tassativo (soprattutto in quanto non previsto da nessuna parte) ma può essere un utile spunto sia per chi volesse iniziare un trattamento nuovo e sia per chi volesse controllare l’adeguamento dei propri trattamenti al Regolamento EU.
Su questo punto l’EDPB ha pubblicato delle linee guida apposite.
I principi della Privacy by design e by default
Nelle fasi di progettazione delle attività di trattamento il titolare dovrebbe tenere conto dei vari principi sottostanti alla privacy by design e by default, tra cui:
La trasparenza: è necessario che il titolare sia chiaro e trasparente con gli interessati sulle modalità di raccolta, utilizzo e condivisione dei dati personali. In altri termini, deve consentire agli interessati di comprendere se sia necessario avvalersi (o non avvalersi) dei diritti loro spettanti.
La liceità: è necessario identificare la corretta (e valida) base giuridica per il trattamento dei dati.
La correttezza: i dati personali non devono essere trattati in modo ingiustificatamente dannoso, in modo discriminatorio, imprevisto o fuorviante per l’interessato.
La limitazione delle finalità: i dati devono essere raccolti per finalità specifiche, esplicite e legittime e non devono essere ulteriormente trattati (con riferimento a finalità diverse).
La minimizzazione dei dati: devono essere trattati solamente i dati necessari alla finalità per la quale sono stati raccolti, in altri termini i dati devono essere adeguati, pertinenti e limitati a quanto necessario per il trattamento.
La limitazione della conservazione: i dati raccolti devono essere conservati per un periodo non superiore a quello necessario per la finalità, superato tale termine, se si vogliono conservare i dati è necessario renderli anonimi, quindi non più possibile l’identificazione degli interessati.
La responsabilizzazione: il titolare è responsabile della conformità a tutti questi principi ed è in grado di dimostrare tale conformità.
Riccardo Ajassa è Dottore in giurisprudenza. Dal 2018 è Consulente della privacy e studia la normativa in materia di protezione dei dati personali. Dopo aver visto moltissime realtà e aumentato la sua esperienza in campo privacy, da alcuni mesi si sta specializzando anche in tema di cyber security.