l’approfondimento

Privacy “by design” e “by default”: cosa sono, vantaggi e sfide



Indirizzo copiato

Privacy by design e privacy by default sono due principi chiave per garantire la protezione dei dati personali. Entrambi mirano a fornire maggiore trasparenza e controllo sulle informazioni personali. Approfondiamo l’importanza di questi principi nel contesto attuale e come possono essere implementati per garantire un ambiente digitale più sicuro e rispettoso della privacy

Pubblicato il 8 ago 2023

Massimo Borgobello

Avvocato a Udine, co-founder dello Studio Legale Associato BCBLaw, PHD e DPO Certificato 11697:2017



cybersecurity governo meloni

I concetti di Privacy by Design e Privacy by Default sono fondamentali per garantire la protezione della privacy fin dalla fase di progettazione di un sistema o di un servizio.

Entrambi i principi sono stati introdotti per incoraggiare lo sviluppo di soluzioni che mettano al centro la privacy degli utenti, promuovendo una maggiore trasparenza e controllo sui propri dati personali.

Esaminiamoli nel dettaglio.

Cosa si intende per privacy by design

Ai sensi dell’articolo 25, paragrafo 1, del GDPR, per privacy by design si intende l’obbligo per il titolare, di mettere in atto “misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”.

Il Considerando 78 del GDPR spiega meglio il concetto: la tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei dati personali richiede l’adozione di misure tecniche e organizzative adeguate a garantire il rispetto delle disposizioni del presente regolamento. Al fine di poter dimostrare la conformità con il presente regolamento, il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati per impostazione predefinita. Tali misure potrebbero consistere, tra l’altro, nel ridurre al minimo il trattamento dei dati personali, pseudonimizzare i dati personali il più presto possibile, offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, consentire all’interessato di controllare il trattamento dei dati e consentire al titolare del trattamento di creare e migliorare caratteristiche di sicurezza. In fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni, i produttori dei prodotti, dei servizi e delle applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorché sviluppano e progettano tali prodotti, servizi e applicazioni e, tenuto debito conto dello stato dell’arte, a far sì che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati. I principi della protezione dei dati fin dalla progettazione e della protezione dei dati per impostazione predefinita dovrebbero essere presi in considerazione anche nell’ambito degli appalti pubblici”.

Anche le Linee guida 4/2019 sull’articolo 25 del GDPR emanate dall’EDPB chiariscono il concetto: “L’articolo 25, paragrafo 1, prevede che il titolare debba prendere in considerazione la DPbDD fin dalla pianificazione di un nuovo trattamento. I titolari attuano la DPbDD prima del trattamento e poi costantemente durante il trattamento, verificando regolarmente l’efficacia delle misure e delle garanzie individuate. La DPbDD si applica altresì a sistemi preesistenti che trattino dati personali”.

Cosa si intende per privacy by default

L’articolo 25, paragrafo 2, del GDPR, prevede che “Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica”.

In altri termini, per impostazione predefinita, devono essere trattati esclusivamente i dati personali necessari per la specifica finalità del trattamento e per il periodo strettamente necessario, garantendo inoltre la non eccessività di tutti i dati raccolti.

Per le Linee guida dell’EDPB, inoltre, “Il titolare dovrebbe scegliere, assumendosene la responsabilità, opzioni e impostazioni predefinite per il trattamento tali da garantire che venga effettuato per impostazione predefinita solo il trattamento strettamente necessario per conseguire la specifica e lecita finalità. In questo caso, i titolari dovrebbero affidarsi alla loro valutazione della necessità del trattamento in relazione alle basi giuridiche di cui all’articolo 6, paragrafo 1. Ciò significa che, per impostazione predefinita, il titolare non deve raccogliere più dati del necessario, non deve trattare i dati acquisiti oltre quanto sia necessario per le sue finalità né deve conservarli per un periodo superiore a quello necessario. Il requisito di base prevede che la protezione dei dati sia integrata nel trattamento per impostazione predefinita”.

I sette principi di privacy by design

Si usa individuare in sette principi la base per una “buona” privacy by design, anche se le Linee guida non li menzionano.

I magnifici sette sono: “Proattivo non reattivo – prevenire non correggere”, “Privacy come impostazione di default”. “Privacy incorporata nella progettazione”,“Massima funzionalità − Valore positivo, non valore zero”, “Sicurezza fino alla fine − Piena protezione del ciclo vitale”, “Visibilità e trasparenza − Mantenere la trasparenza”, “Rispetto per la privacy dell’utente − Centralità dell’utente”.

Il principio di privacy by default

La privacy by default, invece, è molto più semplice e fa proprio un unico principio: quello del trattamento del minor numero di dati possibili in relazione alla finalità per la quale sono trattati e del trattamento per il tempo strettamente necessario al conseguimento di detta finalità e degli obblighi nomativi connessi.

Le differenze tra privacy by design e privacy by default

La privacy by design sta, per così dire, a monte, mentre la privacy by default è una conseguenza della corretta progettazione del sistema.

Privacy by design e privacy by default in relazione al GDPR

Le Linee guida dell’EDPB sono chiare nell’indicare quali sono i principi che devono essere applicati ai sensi dell’articolo 25 del GDPR perché privacy by design e privacy by default risultino compliant: trasparenza, liceità, correttezza del trattamento, limitazione delle finalità del trattamento e minimizzazione dei dati, esattezza, limitazione della conservazione, integrità, riservatezza e responsabilizzazione del titolare.

Per ogni voce le Linee guida tracciano delle coordinate con cui il titolare può orientarsi nella progettazione del sistema.

Privacy by design come impostazione predefinita

Dato che il titolare soggiace al principio di responsabilizzazione, per cultura aziendale è necessario che veda le impostazioni della privacy come un elemento predefinito.

Esempi di privacy by design e privacy by default

Una privacy by design efficiente, per una compagnia telefonica prevede, ad esempio, un assetto contrattuale che impone ai propri agenti e subagenti di essere GDPR compliant: la privacy by design, in questo caso, si sostanzierà di un organigramma, di precise deleghe di funzioni e sistemi di controllo, il tutto corredato da clausole contrattuali precise.

La privacy by default, invece, prevederà, per i clienti prospect, la possibilità di accedere ai soli dati strettamente necessari al primo contatto, con una policy di cancellazione dei dati stessi non appena la finalità per cui sono stati trattati viene meno.

Per i clienti propri, al contrario, prevederà il mantenimento del minor numero di dati possibile, compatibilmente con gli obblighi di legge.

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati