Libri Rossi

Privacy by design e privacy by default

CAPITOLO N.13 del Progetto Editoriale "Nuova Privacy cosa occorre sapere"

Riferimenti normativi

Articolo 25 - Regolamento 679/2016
Considerando 75 e 78


Uno degli articoli più commentati del nuovo regolamento privacy è l’articolo 25.
L’articolo riporta due principi fondamentali: quello della c.d. "privacy by design" e della c.d. "privacy by default", che vanno associati a quanto contenuto nel principio c.d. di "accountability" – che verrà esaminato nel prossimo capitolo 15. Con il primo termine by design si intende la necessità di tutelare il dato sin dalla progettazione di sistemi informatici che ne prevedano l’utilizzo, con il termine by default, invece, riguarda la tutela della vita privata per “impostazione predefinita”.

Esaminiamo i due concetti separatamente, per meglio comprenderne la portata.

La privacy by design prevista al primo comma dell’articolo 25:

“Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.”

E’ richiesto, quindi, al titolare di adottare ed attuare misure tecniche e organizzative sin dal momento della progettazione oltre che nell’esecuzione del trattamento che tutelino i principi di protezione dei dati. Le origini di questo principio va ricercata negli anni novanta, quando ci si è resi conto che l’impatto delle nuove tecnologie sul diritto della privacy degli utenti e si è raccomandato l’utilizzo delle c.d. PET (Privacy Enhancing Technologies): tecnologie, per così dire "aggiuntive", in grado di mitigare questi indesiderati effetti, preservando la funzionalità del sistema informativo. Nella Direttiva 95/46/CE Codice Privacy tutto questo era contenuto nell’articolo 3 sul principio di necessità del trattamento dei dati.

La 32ma Conferenza mondiale dei Garanti della privacy (ICDPPC International Conference of Data Protection & Privacy Commissioners), tenutasi a Gerusalemme nel 2010, ha accolto favorevolmente tale cambio di paradigma, adottando la Resolution on Privacy by design, che oggi è interamente raccolta nel Regolamento 2016/679.

Secondo l’impostazione della privacy by design, l'utente è considerato il centro del sistema privacy (per definizione, quindi, è "user centric").
Qualsiasi progetto (sia strutturale sia concettuale) va realizzato considerando dalla progettazione (appunto by design) la riservatezza e la protezione dei dati personali. 

La Privacy by design – secondo la risoluzione del 2010 - comprende una trilogia di applicazioni:

1. sistemi IT
2. pratiche commerciali corrette
3. progettazione strutturale e infrastrutture di rete.

Nella risoluzione vengono poi individuati i seguenti sette principi fondamentali che esprimono pienamente l'intero senso di questa prospettiva.

1. Proattivo non reattivo – prevenire non correggere: agire prima che si sviluppino i problemi
2. Privacy come impostazione di default: progettare un sistema IT senza alcuna collezione di informazioni personali e nel caso in cui siano richieste informazioni personale deve sussistere uno scopo o un motivo per raccoglierlo
3. Privacy incorporata nella progettazione: la privacy va considerata come fattore per tutta la vita di un progetto;
4. Massima funzionalità − Valore positivo, non valore zero: su una serie di obiettivi non ne prevale uno solo, ma tutti insieme concorrono alla positiva realizzazione degli obiettivi.
5. Sicurezza fino alla fine − Piena protezione del ciclo vitale: la sicurezza è il concetto chiave per la privacy, senza di essa non è possibile attribuire nessuna responsabilità e nessun diritto, solo con la sicurezza è possibile assicurare la gestione delle informazioni in maniera corretta per tutto i ciclo di utilizzo delle stesse.
6. Visibilità e trasparenza − Mantenere la trasparenza: se vengono rispettati gli obiettivi dichiarati, se i documenti utilizzati sono chiari, se le politiche di controllo sono precise sarà possibile istaurare quel grado di fiducia ed affidabilità necessari a permettere ai soggetti interessati di fidarsi.
7. Rispetto per la privacy dell'utente − Centralità dell'utente: un sistema deve essere pensato e strutturato per gli utenti.

Come rispettare il principio della privacy by design?
Ogni volta che un progetto inizia deve prendere in considerazione, prima di tutto, il ruolo dell'utente, progettando tutto attorno alla persona fisica, secondo questo metodo è molto semplice evitare i rischi privacy e di sicurezza.

* * *

Il secondo comma dell’articolo 25 del Regolamento stabilisce invece che:

“ Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica.”

Tale comma si riferisce al principio della Privacy by design.
Sostanzialmente tale principio prevede che le impostazioni di tutela della vita privata relative ai servizi e prodotti rispettino i principi generali della protezione dei dati, quali la minimizzazione dei dati e la limitazione delle finalità.
La privacy by design comporta, da una parte, che in un complessivo approccio di progettazione di sistemi informatici funzionale alla tutela della privacy, determinate informazioni devono essere protetti in modo rafforzato. Dall’altra parte, comporta l’utilizzo di determinate impostazioni in automatico di maggiore tutela per l’utente e che son scelte da chi costruisce il sistema informatico con la possibilità di cambiamento da parte dell’utente dell’opzione prescelta.
L’utilità di queste impostazioni in automatico, di default settings appunto, discende dal fatto che si riconosce all’utente una certa inerzia rispetto alla possibilità di scelta e una connessa tendenza a restare sul sugli stessi default settings. Ne consegue l’assoluta importanza dell’impostazione di default settings che condizionano le scelte dell’utente: questi è portato ad affidarsi alle impostazioni preimpostate e non sono portati a condividere più informazioni di quelle richieste di base, lasciando comunque sempre la possibilità di modificare le impostazioni di base.

Cosa deve fare quindi in pratica il titolare del trattamento per applicare correttamente il principio dell’articolo 25?

In generale il titolare deve:

- impostare il default settings tenendo conto del cosìdetto principio del “would have wanted standard”, ovvero osa un utente ben informato sceglierebbe se ne avesse la possibilità;
- attuare il principio della minimizzazione (invero richiamato ad esempio, assieme alla pseudonimizzazione, anche dal primo comma): non possono essere trattati dati personali ulteriori rispetto a quelli minimi indispensabili per ogni specifica finalità;
- garantire che i dati raccolti non siano conservati per tempi ulteriori rispetto a quelli minimi necessari;
- assicurarsi che l’accesso ad un numero indefinito di dati personali da parte di macchine ("senza l’intervento della persona fisica") non sia possibile.


Infine, sull’articolo 25 è importante segnalare l’aspetto sanzionatorio.

La sanzione applicabile arriva sino a € 10.000.000,00 il 2% del fatturato annuale, ma l’articolo art. 83, comma 2, lett. d specifica che il quantum della sanzione va valutato tenendo conto delle misure tecniche ed organizzative messe in atto caso per caso. La sanzione ricade sul titolare o responsabile, su cui, quindi ricadono gli obblighi di verificare il rispetto dell’articolo 25 anche su software o sistemi dei propri fornitori.

Archivio
Iscriviti

Inserisci il tuo indirizzo e-mail per iscriverti alla nostra newsletter e tenerti informato sulle nostre novità.

Copyright © 2019 Thecma.net | Privacy & Cookie Policy
P. IVA 02188521203 - C.F. DLLLSN74H48A944X
Cod. destinatario 5RUO82D