I concetti di Privacy by Design e Privacy by Default sono fondamentali per garantire la protezione della privacy fin dalla fase di progettazione di un sistema o di un servizio.
Entrambi i principi sono stati introdotti per incoraggiare lo sviluppo di soluzioni che mettano al centro la privacy degli utenti, promuovendo una maggiore trasparenza e controllo sui propri dati personali.
Esaminiamoli nel dettaglio.
Cosa si intende per privacy by design
Ai sensi dell’articolo 25, paragrafo 1, del GDPR, per privacy by design si intende l’obbligo per il titolare, di mettere in atto “misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”.
Il Considerando 78 del GDPR spiega meglio il concetto: la tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei dati personali richiede l’adozione di misure tecniche e organizzative adeguate a garantire il rispetto delle disposizioni del presente regolamento. Al fine di poter dimostrare la conformità con il presente regolamento, il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati per impostazione predefinita. Tali misure potrebbero consistere, tra l’altro, nel ridurre al minimo il trattamento dei dati personali, pseudonimizzare i dati personali il più presto possibile, offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, consentire all’interessato di controllare il trattamento dei dati e consentire al titolare del trattamento di creare e migliorare caratteristiche di sicurezza. In fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni, i produttori dei prodotti, dei servizi e delle applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorché sviluppano e progettano tali prodotti, servizi e applicazioni e, tenuto debito conto dello stato dell’arte, a far sì che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati. I principi della protezione dei dati fin dalla progettazione e della protezione dei dati per impostazione predefinita dovrebbero essere presi in considerazione anche nell’ambito degli appalti pubblici”.
Anche le Linee guida 4/2019 sull’articolo 25 del GDPR emanate dall’EDPB chiariscono il concetto: “L’articolo 25, paragrafo 1, prevede che il titolare debba prendere in considerazione la DPbDD fin dalla pianificazione di un nuovo trattamento. I titolari attuano la DPbDD prima del trattamento e poi costantemente durante il trattamento, verificando regolarmente l’efficacia delle misure e delle garanzie individuate. La DPbDD si applica altresì a sistemi preesistenti che trattino dati personali”.
Cosa si intende per privacy by default
L’articolo 25, paragrafo 2, del GDPR, prevede che “Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica”.
In altri termini, per impostazione predefinita, devono essere trattati esclusivamente i dati personali necessari per la specifica finalità del trattamento e per il periodo strettamente necessario, garantendo inoltre la non eccessività di tutti i dati raccolti.
Per le Linee guida dell’EDPB, inoltre, “Il titolare dovrebbe scegliere, assumendosene la responsabilità, opzioni e impostazioni predefinite per il trattamento tali da garantire che venga effettuato per impostazione predefinita solo il trattamento strettamente necessario per conseguire la specifica e lecita finalità. In questo caso, i titolari dovrebbero affidarsi alla loro valutazione della necessità del trattamento in relazione alle basi giuridiche di cui all’articolo 6, paragrafo 1. Ciò significa che, per impostazione predefinita, il titolare non deve raccogliere più dati del necessario, non deve trattare i dati acquisiti oltre quanto sia necessario per le sue finalità né deve conservarli per un periodo superiore a quello necessario. Il requisito di base prevede che la protezione dei dati sia integrata nel trattamento per impostazione predefinita”.
I sette principi di privacy by design
Si usa individuare in sette principi la base per una “buona” privacy by design, anche se le Linee guida non li menzionano.
I magnifici sette sono: “Proattivo non reattivo – prevenire non correggere”, “Privacy come impostazione di default”. “Privacy incorporata nella progettazione”,“Massima funzionalità − Valore positivo, non valore zero”, “Sicurezza fino alla fine − Piena protezione del ciclo vitale”, “Visibilità e trasparenza − Mantenere la trasparenza”, “Rispetto per la privacy dell’utente − Centralità dell’utente”.
Il principio di privacy by default
La privacy by default, invece, è molto più semplice e fa proprio un unico principio: quello del trattamento del minor numero di dati possibili in relazione alla finalità per la quale sono trattati e del trattamento per il tempo strettamente necessario al conseguimento di detta finalità e degli obblighi nomativi connessi.
Le differenze tra privacy by design e privacy by default
La privacy by design sta, per così dire, a monte, mentre la privacy by default è una conseguenza della corretta progettazione del sistema.
Privacy by design e privacy by default in relazione al GDPR
Le Linee guida dell’EDPB sono chiare nell’indicare quali sono i principi che devono essere applicati ai sensi dell’articolo 25 del GDPR perché privacy by design e privacy by default risultino compliant: trasparenza, liceità, correttezza del trattamento, limitazione delle finalità del trattamento e minimizzazione dei dati, esattezza, limitazione della conservazione, integrità, riservatezza e responsabilizzazione del titolare.
Per ogni voce le Linee guida tracciano delle coordinate con cui il titolare può orientarsi nella progettazione del sistema.
Privacy by design come impostazione predefinita
Dato che il titolare soggiace al principio di responsabilizzazione, per cultura aziendale è necessario che veda le impostazioni della privacy come un elemento predefinito.
Esempi di privacy by design e privacy by default
Una privacy by design efficiente, per una compagnia telefonica prevede, ad esempio, un assetto contrattuale che impone ai propri agenti e subagenti di essere GDPR compliant: la privacy by design, in questo caso, si sostanzierà di un organigramma, di precise deleghe di funzioni e sistemi di controllo, il tutto corredato da clausole contrattuali precise.
La privacy by default, invece, prevederà, per i clienti prospect, la possibilità di accedere ai soli dati strettamente necessari al primo contatto, con una policy di cancellazione dei dati stessi non appena la finalità per cui sono stati trattati viene meno.
Per i clienti propri, al contrario, prevederà il mantenimento del minor numero di dati possibile, compatibilmente con gli obblighi di legge.
