Privacy by design e by default

Privacy by design e by default

Il Regolamento europeo per la protezione dei dati personali impone al titolare del trattamento l'adozione di misure tecniche ed organizzative adeguate al fine di tutelare i dati da trattamenti illeciti.

L'articolo 25, in particolare, introduce il principio di privacy by design e privacy by default, un approccio concettuale innovativo che impone alle aziende l'obbligo di avviare un progetto prevedendo, fin da subito, gli strumenti e le corrette impostazioni a tutela dei dati personali

 

Privacy by design

Il concetto di privacy by design risale al 2010, già presente negli Usa e Canada e poi adottato nel corso della 32ma Conferenza mondiale dei Garanti privacy. La definizione fu coniata da Ann Cavoukian, Privacy Commissioner dell'Ontario (Canada). I principi che reggono il sistema sono i seguenti: 
- prevenire non correggere, cioè i problemi vanno valutati nella fase di progettazione, e l'applicativo deve prevenire il verificarsi dei rischi; 
- privacy come impostazione di default (ad esempio, non deve essere obbligatorio compilare un campo di un form il cui conferimento di dati è facoltativo); 
- privacy incorporata nel progetto (ad esempio, l'utilizzo di tecniche di pseudonimizzazione o minimizzazione dei dati); 
- massima funzionalità, in maniera da rispettare tutte le esigenze (rifiutando le false dicotomie quali più privacy = meno sicurezza); 
- sicurezza durante tutto il ciclo del prodotto o servizio; 
- visibilitàtrasparenza del trattamento, cioè tutte le fasi operative devono essere trasparenti in modo che sia verificabile la tutela dei dati; 
- centralità dell'utente, quindi rispetto dei diritti, tempestive e chiare risposte alle sue richieste di accesso. 

In definitiva il sistema di tutela dei dati personali deve porre l'utente al centro, in tal modo obbligando il titolare del trattamento ad una tutela effettiva da un punto sostanziale, non solo formale, cioè non è sufficiente che la progettazione dei sistema sia conforme alla norma se poi l'utente non è tutelato. 

La Privacy by design impone al titolare di implementare le misure tecniche e organizzative adeguate al trattamento, cioé misure adatte ad attuare i principi di protezione dei dati personali in maniera efficace. Nella scelta di tali misure deve tenere conto di: 
- lo stato dell'arte (i progressi tecnologici disponibili sul mercato); 
- i costi di attuazione (si richiede una proporzionalità al rischio); 
- la natura, l'ambito di applicazione, il contesto e le finalità del trattamento; 
- i rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento; 
- il tempo. 

Dall'articolo 25 si evince che l'approccio del GDPR è centrato sulla valutazione del rischio (risk based approach), così come altri obblighi (es. notifica ai Garanti nazionali), per cui le aziende dovranno valutare il rischio inerente alle loro attività.  Con tale valutazione si determina la misura di responsabilità del titolare o del responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti. Il GDPR comprende anche la definizione di rischio (Considerando 75 e 76). Tale valutazione del rischio andrà fatta al momento della progettazione del sistema, quindi prima che il trattamento inizi. Chiaramente si dovrà tenere conto anche del tipo di dati trattati, per cui in presenza di un trattamento che coinvolge dati di minori gli obblighi dovranno essere più stringenti, in considerazione del fatto che il rischio è maggiore. Infine si dovrà tenere conto dello stato della tecnologia, per cui il trattamento va adattato nel corso del tempo. 

 

Privacy by default

Il principio di privacy by default (protezione per impostazione predefinita) prevede, appunto, che per impostazione predefinita le imprese dovrebbero trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini. Occorre, quindi, progettare il sistema di trattamento di dati garantendo la non eccessività dei dati raccolti. in modo che l'interessato riceva un alto livello di protezione anche se non si attiva per limitare la raccolta dei dati (es. tramite opt out). 

Il principio in questione ovviamente tocca tutti gli aspetti del trattamento, non solo la quantità e qualità dei dati, ma anche il periodo di trattamento e le persone che possono accedere ai dati. 

 

Valutazione del rischio

L'introduzione di tali due principi obbliga, ovviamente, le imprese a predisporre una valutazione di impatto privacy ogni volta che il trattamento di dati operato dal prodotto o dal servizio dovrebbe comportare rischi elevati per la privacy delle persone o rientrare nelle categorie per le quali è richiesto il PIA ai sensi del GDPR. L'utilizzo di software e applicativi di aziende terze comporta che debba essere l'azienda terza a dover sviluppare le valutazioni del rischio dell'uso dell'applicativo, che ovviamente va disegnato in maniera conforme al regolamento. Valutazione che dovrà essere opportunamente documentata al titolare del trattamento. L'azienda fornitrice del software potrà anche usufruire di apposite certificazioni

Le sanzioni per il mancato rispetto del principio vanno fino a 20mila euro o il 4% del fatturato. 

 

Linee guida

L'European Data Protection Board ha pubblicato le Linee guida sulla Data protectione by design e by default

L’Autorità di controllo norvegese ha fornito una guida per l'implementazione del principio di privacy by design rivolta agli sviluppatori di software, Data Protection Officer e esperti di sicurezza. 

 

Video Placeholder

Video Ann Cavoukian Privacy by Design