La privacy by design cosa bisogna sapere e come si intende tutelare il dato

125
privacy by default trattamento dei dati
adv

Uno degli articoli più commentati del nuovo regolamento privacy è l’articolo 25 che riporta due principi fondamentali: quello della c.d. “privacy by design” e quello della c.d. “privacy by default”. Per by design si intende la necessità di tutelare il dato sin dalla progettazione dei sistemi informatici che ne prevedono l’utilizzo. Per by default, invece, si intende la tutela della vita privata per “impostazione predefinita”.

Vediamo nel dettaglio la privacy by design prevista al primo comma dell’articolo 25:

“Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.

E’ richiesto, quindi, al titolare di adottare ed attuare misure tecniche e organizzative che tutelino i principi di protezione dei dati sin dal momento della progettazione oltre che nell’esecuzione del trattamento.

Le origini di questo principio vanno ricercate negli anni novanta, quando emerse la problematica dell’impatto delle nuove tecnologie sul diritto della privacy degli utenti e si raccomandò l’utilizzo delle c.d. PET (Privacy Enhancing Technologies): tecnologie, per così dire “aggiuntive”, in grado di mitigare i probabili effetti lesivi sulla tutela dei dati degli utenti, preservando la funzionalità del sistema informativo.

Nella Direttiva 95/46/CE Codice Privacy tutto questo era contenuto nell’articolo 3 sul principio di necessità del trattamento dei dati.

Secondo l’impostazione della privacy by design, l’utente è considerato il centro del sistema privacy che per definizione, quindi, è “user centric”. Qualsiasi progetto (sia strutturale sia concettuale) va realizzato considerando fin dalla progettazione (appunto by design) la riservatezza e la protezione dei dati personali.

  • La Privacy by design comprende una trilogia di applicazioni:
  • Sistemi IT
  • Pratiche commerciali corrette
  • Progettazione strutturale e infrastrutture di rete

Nella risoluzione vengono poi individuati i seguenti sette principi fondamentali che esprimono pienamente l’intero senso di questa prospettiva. Il concetto di privacy by design risale al 2010, già presente negli Usa e Canada e poi adottato nel corso della 32ma Conferenza mondiale dei Garanti privacy. La definizione fu coniata da Ann Cavoukian, Privacy Commissioner dell’Ontario (Canada). Pertanto il sistema di protezione dei dati deve essere proattivo non reattivo – prevenire non correggere: agire prima che si sviluppino i problemi.

  • Privacy come impostazione di default: progettare un sistema IT senza alcuna collezione di informazioni personali e nel caso in cui siano richieste informazioni personali deve sussistere uno scopo o un motivo per raccoglierlo.
  • Privacy incorporata nella progettazione: la privacy va considerata come fattore per tutta la vita di un progetto.
  • Massima funzionalità − Valore positivo, non valore zero: su una serie di obiettivi non ne prevale uno solo, ma tutti insieme concorrono alla positiva realizzazione degli obiettivi.
  • Sicurezza fino alla fine − Piena protezione del ciclo vitale: la sicurezza è il concetto chiave per la privacy, senza di essa non è possibile attribuire nessuna responsabilità e nessun diritto, solo con la sicurezza è possibile assicurare la gestione delle informazioni in maniera corretta per tutto il ciclo di utilizzo delle stesse.
  • Visibilità e trasparenza − Mantenere la trasparenza: se vengono rispettati gli obiettivi dichiarati, se i documenti utilizzati sono chiari, se le politiche di controllo sono precise sarà possibile instaurare quel grado di fiducia ed affidabilità necessari a permettere ai soggetti interessati di fidarsi.
  • Rispetto per la privacy dell’utente − Centralità dell’utente: il sistema deve essere pensato e strutturato per gli utenti.

Attenzione ogni volta che si avvia un progetto occorre prendere in considerazione, prima di tutto, il ruolo dell’utente, progettando tutto attorno alla persona fisica, secondo questo metodo è molto semplice evitare i rischi privacy e di sicurezza.

Mentre per la PRIVACY BY DEFAULT il secondo comma dell’articolo 25 del Regolamento stabilisce invece che:

“Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.”

Sostanzialmente tale principio prevede che le impostazioni di tutela della vita privata relative ai servizi e prodotti rispettino i principi generali della protezione dei dati, quali la minimizzazione dei dati e la limitazione delle finalità.

La privacy by default comporta, da una parte, che in un complessivo approccio di progettazione di sistemi informatici funzionale alla tutela della privacy, determinate informazioni debbano essere protette in modo rafforzato.

Dall’altra parte comporta l’utilizzo di determinate impostazioni in automatico di maggiore tutela per l’utente, tali impostazioni sono scelte da chi costruisce il sistema informatico con la possibilità di cambiamento da parte dell’utente dell’opzione prescelta.

Quindi in pratica il titolare del trattamento per applicare correttamente il principio dell’articolo 25 deve:

  • impostare il default settings tenendo conto del cosìdetto principio del “would have wanted standard”, ovvero cosa un utente ben informato sceglierebbe se ne avesse la possibilità;
  • attuare il principio della minimizzazione (invero richiamato ad esempio, assieme alla pseudonimizzazione, anche dal primo comma): non possono essere trattati dati personali ulteriori rispetto a quelli minimi indispensabili per ogni specifica finalità;
  • garantire che i dati raccolti non siano conservati per tempi ulteriori rispetto a quelli minimi necessari;
  • assicurarsi che l’accesso ad un numero indefinito di dati personali da parte di macchine (“senza l’intervento della persona fisica”) non sia possibile.

Infine, sull’articolo 25 è importante segnalare l’aspetto sanzionatorio.

La sanzione applicabile per il mancato rispetto dei principi di cui all’art. 25 arriva sino a € 10.000.000,00 il 2% del fatturato annuale, ma l’articolo art. 83, comma 2, lett. d specifica che il quantum della sanzione va valutato tenendo conto delle misure tecniche ed organizzative messe in atto caso per caso.

La sanzione ricade sul titolare o responsabile, su cui, quindi ricadono gli obblighi di verificare il rispetto dell’articolo 25 anche su software o sistemi dei propri fornitori.