GDPR PRIVACY: Privacy by design e Privacy by default

Regolamento europeo privacy 2018 privacy by design e privacy by default

Privacy by design e privacy by default sono due concetti innovativi contenuti nel GDPR (General Data Protection Regulation) o Regolamento UE 2016/679 che apportano una vera e propria rivoluzione in materia di raccolta dati personali.

Cerchiamo di approfondire entrambi i concetti, spesso menzionati insieme ma che hanno un significato distinto.
In questo articolo parleremo di:

Privacy by design e by default: cosa sono

Si tratta di due nuovi principi sanciti dall’articolo 25 del regolamento europeo:

PRIVACY BY DESIGN

Significa introdurre la gestione dei dati personali come uno step necessario, dal quale non si può prescindere, sin dalla progettazione di un servizio o prodotto che comporti una qualsiasi raccolta di dati personali.

PRIVACY BY DEFAULT

Significa mettere in atto i principi di minimizzazione e limitazione di conservazione: bisogna stabilire sin dall’inizio quali sono i dati personali strettamente necessari a ciascuna finalità di trattamento, definendo con esattezza la quantità dei dati e la durata della loro conservazione.

Entrambi i principi in realtà sottendono alla gestione “tecnologica” del dato, dove l’intento del legislatore comunitario è quello di stimolare l’adozione di strumenti di raccolta dei dati che garantiscano il rispetto totale dei principi sanciti nel Regolamento stesso.

Privacy by design o protezione dei dati fin dalla progettazione

Il concetto di privacy by design in realtà non è nuovissimo, in quanto fu introdotto già nel 2010 negli Stati Uniti e poi adottato dalla 32° Conferenza Mondiale dei Garanti della Privacy. Si basa sui seguenti principi:

  • prevenire è meglio che correggere: i problemi vanno valutati già in fase di progettazione
  • privacy come impostazione di default: per fare un esempio, non deve essere obbligatorio compilare un campo sui dati personali che poi in realtà è facoltativo in quanto non necessario alle finalità del trattamento dati
  • privacy incorporata nel progetto: la privacy è un elemento che fa parte del progetto dal suo concepimento fino alla sua totale realizzazione, per tutto il suo ciclo di vita
  • massima funzionalità
  • trasparenza e visibilità: se vengono rispettati gli obiettivi dichiarati, se la documentazione è chiara e leggibile, se le politiche di controllo sono precise sarà possibile instaurare quel grado di fiducia ed affidabilità necessari a permettere ai soggetti interessati di fidarsi.
  • centralità dell’utente: il sistema deve essere pensato e strutturato per gli utenti.

Proteggere i dati fin dalla progettazione significa che il titolare del trattamento deve pensare e organizzare la tutela dei dati personali, che andrà a raccogliere, sin dalla fase di progetto: occorre quindi che siano previste le giuste misure di sicurezza per la tutela dei dati dal momento in cui nasce il progetto fino alla conclusione del ciclo di vita della raccolta stessa.

Privacy by default o protezione dei dati predefinita

La privacy by default significa che il titolare del trattamento deve adottare misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. In altre parole, deve essere sempre garantita la tutela della vita privata per impostazione predefinita.

L’intento del legislatore è quello di prevenire la raccolta di dati non necessari alle finalità perseguite dal titolare del trattamento. Con la privacy by default si vuole garantire che i dati personali non siano accessibili a un numero indefinito di persone e che gli interessati sappiano sempre per quali finalità vengono raccolti i propri dati.

Come adeguarsi?

Per poter mettere in pratica questi due principi, un’azienda, nella persona del titolare del trattamento, deve sostanzialmente:

  • definire e impostare il default settings ossia definire, in base alle proprie finalità, i dati minimi che andranno raccolti per ciascun interessato, attuando quindi il principio di minimizzazione (espressamente citato dal legislatore insieme alla pseudonimizzazione)
  • stabilire quanto tempo sarà necessario conservare i dati raccolti, garantendo quindi di non oltrepassare questi limiti di conservazione
  • accertarsi che l’accesso ad un numero indefinito di dati personali da parte di macchine (“senza l’intervento della persona fisica“) non sia possibile

Considerazioni finali

Questi due concetti mirano ad una gestione “tecnologica” della privacy: occorre quindi progettare e poi parametrare correttamente il software che gestirà i dati personali degli interessati. Soltanto tramite la tecnologia si può intervenire tempestivamente nella gestione del trattamento al fine di azzerare i rischi di violazione di privacy. Ottenere una certificazione può servire al titolare del trattamento come comprova per essersi adeguato a questo tipo di mentalità.

Adeguarsi a questo tipo di approccio non solo è necessario, ma “conviene” alle aziende in quanto le sanzioni amministrative a cui si va incontro sono davvero molto pesanti: fino a € 20.000.000 per i privati e le imprese che non fanno parte di gruppi e fino al 4% del fatturato consolidato per le imprese che fanno parte dei gruppi societari.



 

Vuoi saperne di più?

Vuoi ricevere maggiori informazioni?
Contattaci subito: siamo a tua completa disposizione!