Principi

Shape 5 Live Search

logo

Il Regolamento europeo per la protezione dei dati personali impone al titolare del trattamento l'adozione di misure tecniche ed organizzative adeguate al fine di tutelare i dati da trattamenti illeciti.

L'articolo 25, in particolare, introduce il principio di privacy by design e privacy by default, un approccio concettuale innovativo che impone alle aziende l'obbligo di avviare un progetto prevedendo, fin da subito, gli strumenti a tutela dei dati personali

 

Privacy by design

Il concetto di privacy by design risale al 2010, già presente negli Usa e Canada e poi adottato nel corso della 32ma Conferenza mondiale dei Garanti privacy. La definizione fu coniata da Ann Cavoukian, Privacy Commissioner dell'Ontario (Canada). 
I principi che reggono il sistema sono i seguenti: 

- prevenire non correggere, cioè i problemi vanno valutati nella fase di progettazione; 
- privacy come impostazione di default; 
- privacy incorporata nel progetto; 
- massima funzionalità, in maniera da rispettare tutte le esigenze (rifiutando le false dicotomie quali più privacy = meno sicurezza); 
- sicurezza durante tutto il ciclo del prodotto o servizio; 
- trasparenza
- centralità dell'utente. 

Quindi, il sistema di tutela dei dati personali deve porre l'utente al centro, in tal modo obbligando ad una tutela effettiva da un punto sostanziale, non solo formale, cioè non è sufficiente che la progettazione dei sistema sia conforme alla norma se poi l'utente non è tutelato. 
 

Articolo 25 - Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita
1.Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
2.Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica.
3.Un meccanismo di certificazione approvato ai sensi dell'articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo. 

Dall'articolo 25 in realtà si evince che l'approccio del GDPR è più centrato sulla protezione dei dati invece che sull'utente medesimo, con un possibile passo indietro rispetto alla Risoluzione del 2010. E' un approccio basato sulla valutazione del rischio (risk based approach), con il quale si determina la misura di responsabilità del titolare o del responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti. 
Il GDPR comprende anche la definizione di rischio (Considerando 75 e 76). 

 

Considerando 75
I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d'identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l'esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l'analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati.

 

Considerando 76 
La probabilità e la gravità del rischio per i diritti e le libertà dell'interessato dovrebbero essere determinate con riguardo alla natura, all'ambito di applicazione, al contesto e alle finalità del trattamento. Il rischio dovrebbe essere considerato in base a una valutazione oggettiva mediante cui si stabilisce se i trattamenti di dati comportano un rischio o un rischio elevato.

L'obbligo di privacy by design è basato sulla valutazione del rischio, così come altri obblighi (es. notifica ai Garanti nazionali), per cui le aziende dovranno valutare il rischio inerente alle loro attività. Tale valutazione andrà fatta al momento della progettazione del sistema, quindi prima che il trattamento inizi. Chiaramente si dovrà tenere conto anche del tipo di dati trattati, per cui in presenza di un trattamento che coinvolge dati di minori gli obblighi dovranno essere più stringenti, in considerazione del fatto che il rischio è maggiore. 
L'approccio basato sul rischio comporta che si deve tenere conto dello stato della tecnologia, per cui il trattamento va adattato nel corso del tempo. 


Un approccio risk based ha l'evidente vantaggio di pretendere degli obblighi che possono andare oltre la mera conformità alla legge, è sicuramente più flessibile e adattabile al mutare delle esigenze e degli strumenti tecnologici, ma ha anche lo svantaggio di delegare all'azienda la valutazione del rischio, rendendo più difficili le contestazioni in caso di violazioni.
Inoltre, un approccio del genere considera più rischioso il trattamento dei dati di un minore rispetto a quelli di un adulto, come se i diritti di un adulto fossero meno fondamentali di quelli del bambino, e pone maggiore atttenzione al trattamento di un grande insieme di dati, laddove è pacifico che anche il trattamento di pochi dati può comportare un danno per i singoli. E', quindi, un approccio che tiene in maggiore considerazione le esigenze delle aziende, rendendo meno burocratica la gestione dei dati, con l'evidente effetto che aziende di minori dimensioni avranno minori obblighi, essendo questi parametrati anche all'organizzazione della stessa. 

Privacy by default

Il principio di privacy by default stabilisce, invece, che per impostazione predefinita le imprese dovrebbero trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini. Occorre, quindi, progettare il sistema di trattamento di dati garantendo la non eccessività dei dati raccolti. 


L'introduzione di tali due principi obbliga, ovviamente, le imprese a predisporre una valutazione di impatto privacy ogni volta che avviano un progetto che prevede un trattamento di dati.