I concetti di Privacy by Design e Privacy by Default sono fondamentali per garantire la protezione della privacy fin dalla fase di progettazione di un sistema o di un servizio.
Entrambi i principi sono stati introdotti per incoraggiare lo sviluppo di soluzioni che mettano al centro la privacy degli utenti, promuovendo una maggiore trasparenza e controllo sui propri dati personali.
Esaminiamoli nel dettaglio.
Indice degli argomenti
Cosa si intende per privacy by design
Ai sensi dell’articolo 25, paragrafo 1, del GDPR, per privacy by design si intende l’obbligo per il titolare, di mettere in atto “misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”.
Il Considerando 78 del GDPR spiega meglio il concetto: la tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei dati personali richiede l’adozione di misure tecniche e organizzative adeguate a garantire il rispetto delle disposizioni del presente regolamento. Al fine di poter dimostrare la conformità con il presente regolamento, il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati per impostazione predefinita. Tali misure potrebbero consistere, tra l’altro, nel ridurre al minimo il trattamento dei dati personali, pseudonimizzare i dati personali il più presto possibile, offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, consentire all’interessato di controllare il trattamento dei dati e consentire al titolare del trattamento di creare e migliorare caratteristiche di sicurezza. In fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni, i produttori dei prodotti, dei servizi e delle applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorché sviluppano e progettano tali prodotti, servizi e applicazioni e, tenuto debito conto dello stato dell’arte, a far sì che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati. I principi della protezione dei dati fin dalla progettazione e della protezione dei dati per impostazione predefinita dovrebbero essere presi in considerazione anche nell’ambito degli appalti pubblici”.
Anche le Linee guida 4/2019 sull’articolo 25 del GDPR emanate dall’EDPB chiariscono il concetto: “L’articolo 25, paragrafo 1, prevede che il titolare debba prendere in considerazione la DPbDD fin dalla pianificazione di un nuovo trattamento. I titolari attuano la DPbDD prima del trattamento e poi costantemente durante il trattamento, verificando regolarmente l’efficacia delle misure e delle garanzie individuate. La DPbDD si applica altresì a sistemi preesistenti che trattino dati personali”.
Cosa si intende per privacy by default
L’articolo 25, paragrafo 2, del GDPR, prevede che “Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica”.
In altri termini, per impostazione predefinita, devono essere trattati esclusivamente i dati personali necessari per la specifica finalità del trattamento e per il periodo strettamente necessario, garantendo inoltre la non eccessività di tutti i dati raccolti.
Per le Linee guida dell’EDPB, inoltre, “Il titolare dovrebbe scegliere, assumendosene la responsabilità, opzioni e impostazioni predefinite per il trattamento tali da garantire che venga effettuato per impostazione predefinita solo il trattamento strettamente necessario per conseguire la specifica e lecita finalità. In questo caso, i titolari dovrebbero affidarsi alla loro valutazione della necessità del trattamento in relazione alle basi giuridiche di cui all’articolo 6, paragrafo 1. Ciò significa che, per impostazione predefinita, il titolare non deve raccogliere più dati del necessario, non deve trattare i dati acquisiti oltre quanto sia necessario per le sue finalità né deve conservarli per un periodo superiore a quello necessario. Il requisito di base prevede che la protezione dei dati sia integrata nel trattamento per impostazione predefinita”.
I sette principi di privacy by design
Si usa individuare in sette principi la base per una “buona” privacy by design, anche se le Linee guida non li menzionano.
I magnifici sette sono: “Proattivo non reattivo – prevenire non correggere”, “Privacy come impostazione di default”. “Privacy incorporata nella progettazione”,“Massima funzionalità − Valore positivo, non valore zero”, “Sicurezza fino alla fine − Piena protezione del ciclo vitale”, “Visibilità e trasparenza − Mantenere la trasparenza”, “Rispetto per la privacy dell’utente − Centralità dell’utente”.
Il principio di privacy by default
La privacy by default, invece, è molto più semplice e fa proprio un unico principio: quello del trattamento del minor numero di dati possibili in relazione alla finalità per la quale sono trattati e del trattamento per il tempo strettamente necessario al conseguimento di detta finalità e degli obblighi nomativi connessi.
Le differenze tra privacy by design e privacy by default
La privacy by design sta, per così dire, a monte, mentre la privacy by default è una conseguenza della corretta progettazione del sistema.
Privacy by design e privacy by default in relazione al GDPR
Le Linee guida dell’EDPB sono chiare nell’indicare quali sono i principi che devono essere applicati ai sensi dell’articolo 25 del GDPR perché privacy by design e privacy by default risultino compliant: trasparenza, liceità, correttezza del trattamento, limitazione delle finalità del trattamento e minimizzazione dei dati, esattezza, limitazione della conservazione, integrità, riservatezza e responsabilizzazione del titolare.
Per ogni voce le Linee guida tracciano delle coordinate con cui il titolare può orientarsi nella progettazione del sistema.
Privacy by design come impostazione predefinita
Dato che il titolare soggiace al principio di responsabilizzazione, per cultura aziendale è necessario che veda le impostazioni della privacy come un elemento predefinito.
Esempi di privacy by design e privacy by default
Una privacy by design efficiente, per una compagnia telefonica prevede, ad esempio, un assetto contrattuale che impone ai propri agenti e subagenti di essere GDPR compliant: la privacy by design, in questo caso, si sostanzierà di un organigramma, di precise deleghe di funzioni e sistemi di controllo, il tutto corredato da clausole contrattuali precise.
La privacy by default, invece, prevederà, per i clienti prospect, la possibilità di accedere ai soli dati strettamente necessari al primo contatto, con una policy di cancellazione dei dati stessi non appena la finalità per cui sono stati trattati viene meno.
Per i clienti propri, al contrario, prevederà il mantenimento del minor numero di dati possibile, compatibilmente con gli obblighi di legge.
FAQ: privacy by design privacy by default
Cosa si intende per privacy by design e privacy by default secondo il GDPR?
La privacy by design è il principio introdotto dall’articolo 25, paragrafo 1 del GDPR che impone al titolare del trattamento di mettere in atto misure tecniche e organizzative adeguate per attuare efficacemente i principi di protezione dei dati fin dalla fase di progettazione di un sistema o servizio. Queste misure includono la pseudonimizzazione e la minimizzazione dei dati.
La privacy by default, invece, è disciplinata dal paragrafo 2 dello stesso articolo e prevede che il titolare garantisca che, per impostazione predefinita, vengano trattati solo i dati personali necessari per ogni specifica finalità del trattamento. Questo principio si applica alla quantità di dati raccolti, alla portata del trattamento, al periodo di conservazione e all’accessibilità dei dati.
Quali sono i sette principi fondamentali della privacy by design?
I sette principi fondamentali della privacy by design sono:
1. “Proattivo non reattivo – prevenire non correggere”: anticipare e prevenire eventi invasivi della privacy prima che accadano.
2. “Privacy come impostazione di default”: garantire automaticamente la protezione dei dati personali nei sistemi IT e nelle pratiche aziendali.
3. “Privacy incorporata nella progettazione”: la privacy è integrata nell’architettura dei sistemi e non aggiunta successivamente.
4. “Massima funzionalità − Valore positivo, non valore zero”: dimostrare che è possibile avere sia privacy che funzionalità senza compromessi.
5. “Sicurezza fino alla fine − Piena protezione del ciclo vitale”: garantire la sicurezza dei dati durante l’intero ciclo di vita del trattamento.
6. “Visibilità e trasparenza − Mantenere la trasparenza”: garantire che tutte le operazioni siano documentate e accessibili.
7. “Rispetto per la privacy dell’utente − Centralità dell’utente”: mettere gli interessi dell’individuo al primo posto.
Come si applica concretamente la privacy by design in un’azienda?
L’applicazione concreta della privacy by design in un’azienda richiede un approccio sistematico che inizia già nelle fasi di pianificazione e progettazione di qualsiasi trattamento di dati personali. Le aziende devono:
1. Integrare la protezione dei dati fin dalla fase di determinazione dei mezzi del trattamento, valutando misure e garanzie adeguate.
2. Effettuare una valutazione del rischio per i diritti e le libertà degli interessati prima di avviare qualsiasi trattamento.
3. Implementare misure tecniche e organizzative adeguate come la pseudonimizzazione, la minimizzazione dei dati e la limitazione dell’accesso.
4. Mantenere un monitoraggio continuo dell’efficacia delle misure adottate durante tutto il ciclo di vita del trattamento.
5. Coinvolgere attivamente il DPO (se nominato) e i responsabili del trattamento nelle procedure di acquisizione e sviluppo.
Ad esempio, un’azienda che intende avviare un’attività di marketing via email dovrà progettare il sistema in modo da raccogliere solo i dati strettamente necessari (nome e indirizzo email) senza richiedere informazioni aggiuntive non essenziali, come il numero di telefono, a meno che non sia indispensabile per la finalità specifica.
Quali sono le differenze principali tra privacy by design e privacy by default?
Le differenze principali tra privacy by design e privacy by default sono:
1. Tempistica di applicazione: La privacy by design opera “a monte” del processo, nella fase di progettazione e sviluppo di sistemi e servizi. La privacy by default è invece una conseguenza della corretta progettazione e si applica durante l’operatività del sistema.
2. Focus: La privacy by design si concentra sull’integrazione dei principi di protezione dei dati nell’architettura complessiva di sistemi e processi. La privacy by default si focalizza specificamente sulla minimizzazione dei dati trattati per impostazione predefinita.
3. Principio guida: La privacy by design segue il principio “proattivo non reattivo”, mirando a prevenire problemi di privacy. La privacy by default segue principalmente il principio di minimizzazione, trattando solo il minor numero di dati possibile compatibilmente con la finalità.
4. Implementazione: La privacy by design richiede una serie di misure tecniche e organizzative complesse integrate nel sistema. La privacy by default si concretizza in impostazioni predefinite che limitano la raccolta, l’elaborazione e l’accesso ai dati.
Quali sono i vantaggi dell’implementazione della privacy by design e by default per le aziende?
L’implementazione della privacy by design e by default offre numerosi vantaggi alle aziende:
1. Conformità normativa: Riduce il rischio di violazioni del GDPR e delle conseguenti sanzioni amministrative che possono arrivare fino al 4% del fatturato globale annuo.
2. Efficienza economica: Implementare la protezione dei dati fin dalla progettazione è più conveniente rispetto a modificare sistemi già esistenti, evitando costosi interventi correttivi successivi.
3. Vantaggio competitivo: Come evidenziato dalle linee guida dell’EDPB, alcune aziende tecnologiche stanno già utilizzando la privacy by design come elemento distintivo sul mercato.
4. Fiducia dei clienti: Dimostrare un impegno concreto nella protezione dei dati aumenta la fiducia degli utenti e migliora la reputazione aziendale.
5. Riduzione dei rischi: Un approccio preventivo minimizza i rischi di data breach e le conseguenti perdite economiche, reputazionali e legali.
Quali sono le sfide nell’implementazione della privacy by design e by default?
L’implementazione della privacy by design e by default presenta diverse sfide significative:
1. Ripensamento dei sistemi esistenti: Molte piattaforme applicative di massa diffuse nelle organizzazioni sono state sviluppate prima dell’introduzione del GDPR e richiedono un profondo ripensamento per integrare la protezione dei dati.
2. Competenze tecniche: È necessario un mix di competenze legali e tecniche che spesso non sono disponibili all’interno delle organizzazioni, soprattutto nelle PMI.
3. Bilanciamento tra usabilità e protezione: Implementare misure di protezione dei dati mantenendo al contempo un’esperienza utente fluida e funzionale può risultare complesso.
4. Costi di implementazione: Nonostante i vantaggi a lungo termine, l’investimento iniziale per riprogettare sistemi e processi può essere significativo.
5. Evoluzione tecnologica: La rapida evoluzione delle tecnologie richiede un costante aggiornamento delle misure di protezione, rendendo difficile mantenere il passo con lo “stato dell’arte”.
6. Resistenza dei fornitori: Come evidenziato nell’articolo, pochissimi fornitori di tecnologia hanno introdotto misure e salvaguardie per ridurre i rischi per il trattamento dei dati personali nei loro prodotti standard.
Come valutare se un software rispetta i principi di privacy by design?
Per valutare se un software rispetta i principi di privacy by design, è possibile utilizzare diversi criteri e strumenti:
1. Verificare l’aderenza agli standard ISO, in particolare alla ISO 31700:2023 che stabilisce i requisiti per integrare la privacy nei prodotti e servizi.
2. Utilizzare checklist basate sugli Allegati A e B del Codice di Condotta approvato dal Garante per la protezione dati, che contengono misure organizzative e tecniche per lo sviluppo di applicazioni in ottica privacy by design.
3. Valutare se il software implementa funzionalità specifiche come:
– Pseudonimizzazione e anonimizzazione dei dati
– Controlli granulari di accesso ai dati
– Funzioni per gestire le richieste degli interessati (es. limitazione del trattamento)
– Meccanismi per la cancellazione automatica dei dati al termine del periodo di conservazione
4. Verificare la presenza di una documentazione che attesti la valutazione dei rischi privacy effettuata durante lo sviluppo.
5. Controllare se il fornitore ha aderito a codici di condotta specifici per il settore software, come quello promosso da AssoSoftware e approvato dal Garante.
Qual è il ruolo dell’EDPB (European Data Protection Board) nella definizione della privacy by design e by default?
L’European Data Protection Board (EDPB) svolge un ruolo fondamentale nella definizione e nell’interpretazione dei principi di privacy by design e by default attraverso:
1. L’elaborazione delle Linee Guida 4/2019 sull’articolo 25 del GDPR, che chiariscono il significato e l’applicazione pratica di questi principi.
2. La definizione dei criteri che i titolari del trattamento devono considerare nell’implementazione delle misure tecniche e organizzative adeguate, come lo stato dell’arte, i costi di attuazione e la natura del trattamento.
3. L’interpretazione dei principi che devono essere applicati ai sensi dell’articolo 25: trasparenza, liceità, correttezza, limitazione delle finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità, riservatezza e responsabilizzazione.
4. La fornitura di indicazioni specifiche su come implementare la privacy by default, chiarendo che non coincide semplicemente con la minimizzazione dei dati ma comprende anche la limitazione dell’accesso e del periodo di conservazione.
5. L’approvazione dei criteri di certificazione della protezione dei dati proposti dagli organismi di certificazione, che possono essere utilizzati come elemento per dimostrare la conformità con la privacy by design e by default.
Come si applica la privacy by design nell’ambito dell’Intelligenza Artificiale?
L’applicazione della privacy by design nell’ambito dell’Intelligenza Artificiale rappresenta una sfida particolarmente complessa ma fondamentale, poiché l’IA implica spesso l’elaborazione di grandi quantità di dati personali. Ecco come si può implementare:
1. Integrazione dei principi etici: I sistemi di IA devono “interiorizzare” i principi etici e giuridici relativi alla privacy, rimettendo l’essere umano al centro dei processi decisionali automatizzati.
2. Tecniche di pseudonimizzazione e minimizzazione: Implementare tecniche avanzate per ridurre la quantità di dati personali utilizzati nell’addestramento e nell’esecuzione degli algoritmi di IA.
3. Trasparenza algoritmica: Progettare sistemi di IA che possano spiegare le loro decisioni, permettendo agli interessati di comprendere come vengono utilizzati i loro dati.
4. Controlli di accesso e separazione dei dati: Implementare misure tecniche per garantire che solo le persone autorizzate possano accedere ai dati utilizzati dai sistemi di IA.
5. Valutazione d’impatto preventiva: Effettuare valutazioni d’impatto sulla protezione dei dati specifiche per i sistemi di IA prima della loro implementazione.
6. Meccanismi di audit: Integrare nel sistema funzionalità che permettano di verificare e documentare il rispetto dei principi di protezione dei dati durante tutto il ciclo di vita dell’IA.
Questo approccio rappresenta un cambio di prospettiva rispetto al passato: non è più la tecnologia a precedere logicamente e cronologicamente la regolamentazione, ma è la tecnologia stessa a dover essere progettata per operare rispettando i diritti fondamentali degli utilizzatori.
Quali sono le sanzioni previste dal GDPR in caso di mancato rispetto dei principi di privacy by design e by default?
Il mancato rispetto dei principi di privacy by design e by default può comportare sanzioni significative ai sensi del GDPR. In particolare:
1. Secondo l’articolo 83, paragrafo 4 del GDPR, la violazione dell’articolo 25 (che disciplina la privacy by design e by default) è identificata come elemento nel determinare il livello delle sanzioni amministrative pecuniarie.
2. Le sanzioni possono arrivare fino a 10 milioni di euro o fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
3. Oltre alle sanzioni pecuniarie, le autorità di controllo possono esercitare i poteri correttivi previsti dall’articolo 58, paragrafo 2 del GDPR, che includono:
– Emissione di avvertimenti e rimproveri
– Ordini di conformità ai diritti degli interessati
– Limitazioni o divieti di trattamento
4. La DPbDD (Data Protection by Design and by Default) è considerata anche nella valutazione complessiva della conformità al GDPR da parte delle autorità di vigilanza, influenzando quindi potenzialmente l’entità delle sanzioni in caso di violazioni di altre disposizioni del regolamento.
5. Le autorità di controllo valutano la conformità con l’articolo 25 secondo le procedure indicate all’articolo 58 del GDPR, considerando l’efficacia delle misure tecniche e organizzative implementate dal titolare del trattamento.
