Analizziamo due concetti particolarmente interessanti che vengono introdotti dal GDPR: privacy by design e privacy by default.
Il principio della data protection by default riguarda le modalità tecniche ed organizzative adoperate ai fini dell’utilizzazione, conservazione e protezione dei dati ed in particolare consiste in quelle misure (come la pseudonimizzazione e la minimizzazione) funzionali a garantire che vengano trattati solo i dati personali necessari alle finalità perseguite. La privacy by default, dunque, ha lo scopo di assicurare che i dati siano utilizzati solo se necessario, siano conservati ed accessibili solo per il periodo di tempo richiesto dalla tipologia di trattamento e solo al personale a ciò addetto. La minimizzazione, ad esempio, costituisce una misura by default finalizzata ad impostare ex ante la massima protezione dei dati attraverso il loro minimo trattamento, sia nella fase di raccolta dei dati che nella fase del trattamento vero e proprio.
Privacy by design e Privacy by default: i trattamenti automatizzati
L’aspetto che più interessa riguarda i trattamenti automatizzati, che, nell’epoca digitale, possono avere ad oggetto enormi quantità di dati, utilizzati anche per finalità ulteriori e diverse da quelle per cui erano stati originariamente raccolti. La preoccupazione riguarda non tanto la compliance dei trattamenti alle regole di protezione dati, come nel caso della privacy by design che analizzeremo di seguito, quanto piuttosto la protezione dal rischio di utilizzazione dei dati da parte di un numero indefinito di persone e per finalità diverse da quelle originarie, soprattutto nei casi di trattamento automatizzato e senza l’individuazione di una chiara responsabilità riconducibile ad un titolare individuato. È proprio in questi casi particolari ad essere richiesta una forma di protezione progettuale e rinforzata dei dati e ad essere necessaria una certificazione. L’art. 25.3 introduce la previsione per cui la certificazione possa essere utilizzata per dimostrare la conformità ai principi di cui all’art. 25.1 e 25.2, ossia ai principi di data protection by default e data protection by design.
La data protection by design, invece, attiene alla fase della progettazione del processo di raccolta e trattamento dati e consiste nel definire procedimenti e modalità conformi alla normativa, in quanto costruiti sin dall’inizio per essere adattati alla tipologia di dati trattati ed alle finalità perseguite. Riguarda, dunque, la creazione di prodotti e servizi che tengano conto sin dalla loro progettazione delle regole e dei principi della protezione dei dati, minimizzando, anche in questo caso, a priori, la raccolta dei dati e i successivi trattamenti.
Si tratta di un approccio pensato, non improvvisato, in virtù del quale l’aspetto della sicurezza deve essere presente in tutte le fasi del trattamento.
Conseguenza della privacy by design è che i produttori di servizi, prodotti e applicazioni dovrebbero essere incoraggiati a tener conto del diritto alla protezione dei dati personali nel momento in cui sviluppano e progettano tali prodotti, affinché i titolari ed i responsabili del trattamento possano adempiere ai loro obblighi. Ciò vuol dire che, essendo il titolare obbligato a compiere una scelta più oculata rispetto ai produttori cui affidarsi, anche questi ultimi avvertiranno l’esigenza di offrire prodotti e servizi sempre più data protection compliant. Da qui sembrerebbe auspicabile ed implicitamente prevista dal GDPR la nuova figura del Data Protection Designer, ossia il soggetto incaricato della progettazione di tecnologie, processi, prodotti e servizi conforme al GDRP.
Privacy by design e Privacy by default: l’art. 25 GDPR e l’ accountability
L’art. 25, che introduce i principi di privacy by default e by design, non prescrive soluzioni tecniche specifiche, ma rimanda ad una valutazione caso per caso e lasciando margini di manovra al titolare in base alla tipologia del trattamento, alle finalità, alla natura dei dati e dei diritti e libertà dell’interessato.
I principi di privacy by design e by default sono un esempio di implementazione del principio di accountability, ossia l’adozione da parte del titolare di tutte quelle misure adeguate ed efficaci a garantire la protezione dei dati personali, nonché la capacità di dimostrare la conformità delle attività di trattamento con le disposizioni del GDPR.
L’importanza dei principi di cui all’art. 25 è confermata anche dal fatto che la loro osservanza è inclusa tra le circostanze che possono essere valutate dall’autorità al momento di comminare una sanzione amministrativa.
Rosanna Celella