privacy-by-design-by-default

Il GDPR prevede che, sia il Titolare che il Responsabile del trattamento, analizzino singolarmente il livello di rischio a cui i dati personali sono soggetti durante il trattamento. Le misure di sicurezza adottate da ciascuno di essi devono essere definite in modo individuale, al fine di dimostrare la conformità di tali misure al GDPR. Le stesse misure devono essere implementate in osservanza dei principi di “Privacy by design” e “Privacy by default”.

I principi del GDPR

Il Regolamento (UE) 2016/679 (“GDPR”) introduce la necessità di configurare il trattamento dei dati personali stabilendo prima ancora che abbia inizio il trattamento, le misure indispensabili per garantire la sicurezza dei dati personali attraverso i principi di Privacy by design e di Privacy by default.

Questi principi di cui sopra, vengono regolati nell’articolo 25 del GDPR ed ampliati nelle “Guidelines 4/2019 on Article 25 Data Protection by Design and by Default”. Tra i principi più importanti enunciati nel GDPR, non possiamo non annoverare il principio di accountability, che richiede alle organizzazioni di analizzare singolarmente il livello di rischio dei dati personali acquisiti e trattati, individuando le misure che si adattano meglio ad ogni singola realtà.

Di seguito, approfondiamo cosa è la Privacy by design e la Privacy by default e i principali requisiti per un corretto adempimento.

Il Principio di Privacy by design

La Privacy by design ha lo scopo di garantire l’esistenza di un corretto livello di privacy e protezione dei dati personali fin dalla fase di progettazione (design) di qualunque sistema, servizio, prodotto o processo così come durante il loro ciclo di vita. In altre parole, il principio di Privacy by design punta a garantire un corretto livello di protezione dei dati in tutte le attività di trattamento ed attuazioni effettuate all’interno di una organizzazione.

Per l’adempimento di questo principio, Titolare e Responsabile dovranno essere proattivi e preventivi, valutando e predisponendo le misure tecniche e organizzative atte ad integrare nel trattamento le garanzie per la tutela dell’interessato e ad applicare i principi fondamentali della protezione di dati specificati nell’art.5 del GDPR quali trasparenza, limitazione delle finalità e minimizzazione.

Queste misure potranno comprendere diverse soluzioni, sia soluzioni avanzate come l’uso di sistemi di codifica sia soluzione di semplice (ma non banale) applicazione come la formazione di base del personale.

In ogni caso, per la sua implementazione, l’organizzazione dovrà tenere conto di alcuni elementi imprescindibili che di seguito elenchiamo

  • (a) il contesto in cui si svolge il trattamento e che può influenzare l’interessato; la natura o caratteristiche del trattamento; l’ambito di applicazione, inteso come l’estensione del trattamento; e la finalità del trattamento, ovvero, gli obbiettivi;
  • (b) i potenziali rischi in materia di diritti e libertà degli interessati;
  • (c) lo stato dell’arte, cioè gli attuali progressi compiuti dalla tecnologia disponibile sul mercato;
  • (d) i costi di attuazione, intesi come il tempo e le risorse umane, in modo tale che siano impiegate misure adatte ed efficaci per la protezione dei dati, evitando l’utilizzo di una quantità sproporzionata di risorse. Tutto ciò con la finalità di integrare salvaguardie sufficienti nel trattamento dei dati da effettuare.

Per facilitare il raggiungimento di una politica privacy by design, diverse autorità privacy europee hanno fornito una serie di strategie da implementare per le organizzazioni.

Il Garante spagnolo

Di seguito le interessanti strategie predisposte nella Guida di Privacy by Design del garante spagnolo:

(i) Il Garante Spagnolo tratta infatti con particolare attenzione le strategie riguardanti il trattamento dei dati, di natura tecnica con un focus specifico su un trattamento rispettoso della privacy dei dati raccolti.

  1. Minimizzare -> Raccogliere e trattare la minima quantità di datti possibile, ad esempio, attraverso la selezione di un campione pertinente di soggetti.
  2. Nascondere -> Limitare l’esposizione dei dati impostando le misure necessarie per garantire la tutela degli obiettivi di riservatezza e separazione, ad esempio rendendo incomprensibili i dati personali a chi non è autorizzato ad accedervi.
  3. Distaccare -> Mantenere contesti di trattamento autonomi che rendano difficile correlare gruppi di dati che dovrebbero essere disgiunti al fine di evitare, o almeno minimizzare, il rischio che, durante il trattamento di dati personali diversi appartenenti allo stesso individuo e utilizzati in trattamenti autonomi, possa essere effettuata una profilazione completa del soggetto.
  4. Astrarre -> Limitare al massimo il dettaglio dei dati personali che vengono trattati, usando, ad esempio, parole generiche oppure gruppi di valori.

(ii) Di non minore importanza sono le strategie orientate verso attività di natura organizzativa con lo scopo di definire i processi che attuino una gestione responsabile dei dati personali. Ad esempio:

  1. Informare -> Garantire che gli Interessati siano pienamente informati del trattamento dei loro dati in modo tempestivo, fornendo informazioni sul trattamento in forma concisa, trasparente, comprensibile e facilmente accessibile, utilizzando un linguaggio chiaro e semplice.
  2. Controllare -> Fornire agli interessati il controllo sulla raccolta, l’elaborazione, gli usi e le comunicazioni dei loro dati personali, comprese misure quali l’attuazione di meccanismi che consentano agli utenti di cancellare o richiedere la cancellazione dei dati personali.
  3. Adempiere -> Definire un modello di privacy e una struttura di governance che includa una politica di protezione dei dati supportata dall’alta dirigenza, nonché ruoli e responsabilità per garantire la conformità.
  4. Dimostrare -> Mostrare agli interessati e alle autorità di controllo il rispetto della politica di protezione dei dati che si sta attuando, nonché degli altri requisiti e obblighi legali imposti dal Regolamento attraverso misure come la verifica sistematica, effettuata in modo indipendente e documentato, del livello di conformità alla politica di protezione dei dati.

In definitiva, come si può dedurre da quanto affermato finora, il principio di Privacy by design trova un’ampia applicazione nella realtà aziendale: nello sviluppo di sistemi, servizi, prodotti e processi informatici che comportano trattamento di dati personali, nello sviluppo di politiche, processi, pratiche aziendali e/o strategie organizzative che comportano un’implicazione nella protezione dei dati, così come in campagne pubblicitarie e commerciali.

Il Principio di Privacy by default

Per quanto riguarda la Privacy by default, questo principio esige che il titolare individui, prima di iniziare il trattamento dei dati, quali dati personali sono strettamente necessari, per la finalità specifica per cui sono stati acquisiti, ai fini di proteggere la riservatezza dei dati personali.

Da questo concetto possiamo scorgere l’importanza che ha il principio di minimizzazione dei dati in relazione alle misure di Privacy by default. L’applicazione del principio di minimizzazione non è semplice, poiché richiede di considerare, giustificare e stabilire quali dati siano necessari per il trattamento. Ed inoltre, i dati necessari devono essere determinati da un’analisi dell’insieme dei dati necessario per soddisfare le finalità del trattamento. Tale analisi, dipenderà dal tipo di trattamento, dai soggetti coinvolti e dalla rilevanza dei dati trattati. In definitiva, il Titolare dovrà analizzare i trattamenti da effettuare e valutare i rischi che possono esistere nei confronti con l’Interessato.

Nonostante ciò, non possiamo confondere la sicurezza by default con la Privacy by default. A tal proposito infatti va tenuto presente che la sicurezza by default, in determinate situazioni, può entrare in contrasto con la Privacy by default. Un esempio concreto è la tipologia di informazioni legate all’autenticazione degli utenti tramite la richiesta di una quantità e di una tipologia di dati personali che possono rappresentare un rischio per i diritti e le libertà degli Interessati stessi.

La Privacy by default è anche legata alla trasparenza, poiché solo conoscendo le caratteristiche del trattamento l’Interessato sarà in grado di decidere, liberamente e con la consapevolezza delle possibili conseguenze, di andare oltre la configurazione iniziale, selezionando quelle opzioni dell’applicazione, del prodotto o del servizio che incidono significativamente sulla privacy.

Detto questo, per l’adempimento di questo principio, il Comitato europeo per la protezione dei dati, ha pubblicato le seguenti tre strategie che possono servire da linee guida:

  • Ottimizzare: l’ottimizzazione del trattamento ha lo scopo di analizzare il trattamento dal punto di vista della protezione dei dati, cosa che comporta un’implementazione di misure relative alla quantità di dati raccolti, all’entità del trattamento, alla conservazione e all’accessibilità degli stessi.
  • Configurare: questa strategia deve consentire al trattamento di essere configurabile attraverso le impostazioni disponibili nelle applicazioni, nei dispositivi o nei sistemi che lo implementano. Parte di questa configurabilità dovrebbe essere sotto il controllo dell’utente. Di conseguenza, i dati ottenuti dall’interessato dovranno essere trattati come confidenziali e trattati strettamente per la finalità per cui sono stati acquisiti e potranno essere esposti a terzi solo se esiste il previo consenso dell’interessato.
  • Limitare: la limitazione garantisce che, per impostazione predefinita, il trattamento sia il più possibile adatto alle esigenze della privacy, per cui le opzioni di configurazione devono essere impostate, per default, su quei valori che limitano la quantità di dati raccolti, l’entità del trattamento, la loro conservazione e accessibilità.

Queste tre strategie sono collegate alle corrispondenti strategie di minimizzazione e controllo definite nella sezione precedente.

Conclusione

A conclusione di quanto detto, è necessario soffermarci sui seguenti aspetti:

  1. La privacy deve essere in primo piano nella configurazione di sistemi e applicazioni. La privacy by design implica la creazione di una cultura aziendale con un approccio alla gestione del rischio e alla responsabilizzazione in modo tale di stabilire strategie che incorporino la protezione della privacy nell’intero ciclo di vita di ogni trattamento. Il raggiungimento di questo obiettivo richiederà un chiaro impegno da parte dell’organizzazione, compresa l’alta dirigenza.
  2. I principi della privacy by design e della privacy by default sono strettamente correlati. Le misure adottate in applicazione alla privacy by default devono essere prese in considerazione fin dall’inizio del trattamento e devono essere implementate nella progettazione e durante l’intero ciclo di vita del prodotto, servizio o sistema.

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!