Privacy by design e by default rappresentano due tra i più importanti principi della normativa europea in materia di protezione dei dati personali, anche in ragione dei relativi obblighi da essi derivanti per i titolari del trattamento.
Va sottolineato intanto che per privacy by design e by default si intende, rispettivamente, la privacy fin dalla progettazione e per impostazione predefinita. Due concetti solo apparentemente astratti, che giocano un ruolo fondamentale nella concreta attuazione e nel rispetto di quanto richiesto ai fini della compliance normativa in materia di protezione dei dati personali.
Analizziamo la natura dei due principi e il loro impatto sulla compliance normativa.
Privacy by design e by default: cosa dice il GDPR
Nella sua qualità di titolare del trattamento dei dati personali l’azienda è tenuta, prima ancora che all’implementazione degli adempimenti – anche di tipo formale – richiesti dal Regolamento (UE) 2016/679 (anche noto come GDPR), al rispetto dei principi in esso previsti.
La normativa europea stabilisce molteplici principi al suo interno, come quelli elencati all’articolo 5, il centrale principio di accountability di cui all’art. 24 e i due principi di privacy by design e by default sanciti dall’art. 25. È su questi ultimi che si concentra l’attenzione del presente contributo, che mira ad approfondire la definizione di due tra i più importanti concetti rinvenibili all’interno della disciplina europea sulla privacy e i rispettivi risvolti operativi.
Quale ruolo hanno Privacy by design e by default
L’importanza di questi due principi si coglie già da un’attenta lettura delle relative Linee guida rilasciate dal Comitato europeo per la protezione dei dati[1] (EDPB – European data Protection Board) nelle quali, in apertura, viene osservato come “in un mondo sempre più digitale, il rispetto dei requisiti della protezione dei dati fin dalla progettazione e della protezione per impostazione predefinita svolge un ruolo cruciale nel promuovere la tutela della vita privata e la protezione dei dati nella società. È pertanto fondamentale che i titolari del trattamento prendano sul serio questa responsabilità e si attengano agli obblighi del [GDPR] quando progettano i rispettivi trattamenti”[2].
Entrambi i principi, pertanto, rivestono un ruolo fondamentale soprattutto nelle fasi preparatorie al trattamento, prima che questo prenda avvio, seppur l’EDPB nelle sue linee guida non abbia mancato di sottolinearne la necessaria applicazione anche “a sistemi preesistenti che trattino dati personali”[3].
Privacy by design: cosa devono fare i titolari del trattamento
Con Privacy by design (art. 25, comma 1, GDPR) si fa riferimento all’esigenza di garantire che la protezione del dato avvenga “fin dalla progettazione”, ovvero che già nelle fasi che precedono l’avvio del trattamento – nella sua ampia definizione riportata all’art. 4, n. 2, GDPR – il titolare metta in atto misure di sicurezza tecniche e organizzative adeguate al rischio.
Nello specifico, è richiesto che ciò avvenga “al momento di determinare i mezzi del trattamento”, ossia nella preliminare fase in cui il titolare decide come avverrà il trattamento e i meccanismi che verranno impiegati per effettuarlo. Come sottolineato nelle citate linee guida, “è nel processo di adozione di queste decisioni che il titolare deve valutare le misure e le garanzie adeguate per attuare efficacemente i principi e i diritti degli interessati nel trattamento e considerare i rischi e gli elementi, quali lo stato dell’arte, il costo di attuazione, la natura, l’ambito di applicazione, il contesto e la finalità, ivi compreso il tempo per ottenere e poter utilizzare il software, l’hardware e i servizi per il trattamento dei dati”[4]. Successivamente, una volta avviato il trattamento, il titolare è comunque tenuto a mantenere su base continuativa la privacy by design durante tutte le successive fasi di esecuzione.
Privacy by default: adattare le impostazioni predefinite per garantire la privacy
Secondo il secondo comma dell’art. 25 GDPR, “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità”. In ciò consiste il principio di Privacy by default che, in ragione del suo contenuto, risulta strettamente collegato a un altro principio, quello di “minimizzazione” di cui all’art. 5 GDPR, secondo cui nel loro trattamento i dati personali devono essere “limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.
Potremmo ricondurre il concetto all’espressione “less is more”: nell’ambito delle sue responsabilità, il titolare dovrebbe dunque far ricadere la scelta di opzioni e impostazioni predefinite per il trattamento in modo da garantire l’effettuazione solo di quanto strettamente necessario al conseguimento della specifica finalità di raccolta.
Come garantire la compliance al GDPR
L’importanza dei due principi può essere colta da più angoli visuali.
In primo luogo, il loro rispetto contribuisce all’osservanza delle responsabilità richieste al titolare a norma degli articoli 24 (principio di accountability) e 32 GDPR (misure di sicurezza), in quanto quest’ultimo è chiamato ad attuare misure tecniche e organizzative adeguate al rischio nella fase di progettazione e, dall’altro lato, al rispetto del principio di minimizzazione di cui, come detto, la privacy by default è stretta parente.
Secondariamente – ma tutt’altro che di minor importanza – una corretta applicazione dei due principi agevola senz’altro il raggiungimento di una sostanziale protezione dei dati personali oggetto del trattamento.
Sotto il profilo temporale, come indicato nelle linee guida, “dal punto di vista del rapporto costi/benefici, è anche nell’interesse dei titolari tenere conto [dei due principi] prima piuttosto che dopo, poiché potrebbe risultare difficile e costoso modificare in un momento successivo pianificazioni già definite e trattamenti già progettati”[5].
Infine, è utile ricordare come un’eventuale violazione dei principi conduce alle importanti sanzioni amministrative pecuniarie indicate al quarto comma dell’art. 83 GDPR.
Strumenti utili per privacy by design e by default in azienda
Come visto, i due principi, per quanto devono essere presi in considerazione dal titolare nelle fasi di pianificazione del trattamento e ancor prima di definirne i mezzi, devono essere assicurati anche nelle fasi successive all’avvio. Pertanto, appare fondamentale una costante attività di monitoraggio e revisione dei processi interni, al fine di verificare il corretto mantenimento dei principi, soprattutto laddove vi fossero modifiche nelle modalità o negli strumenti attraverso i quali avviene il trattamento.
In questa prospettiva, in caso di attività di trattamento esternalizzate e, come tali, eseguite anche con l’ausilio di responsabili nominati ex art. 28 GDPR, appare fondamentale il contributo di questi ultimi nelle procedure di acquisizione e sviluppo, nonché nell’ulteriore ciclo di vita del trattamento.
Parimenti, è da incentivare il coinvolgimento attivo del responsabile della protezione dei dati[6] (o DPO – Data Protection Officer), laddove sia stato nominato dall’azienda.
Applicazione in azienda: esempi pratici e best practice
Volendo trasporre i due concetti sul piano concreto, poniamo l’esempio di un’azienda che intende avviare un’attività di marketing tramite l’invio di comunicazioni a carattere promozionale a mezzo di posta elettronica.
In questo caso la fase di sviluppo e progettazione dell’attività, nonché quella di selezione dei servizi che verranno utilizzati per portarla avanti, devono essere inquadrati in un’ottica di privacy by design sia riguardo alle salvaguardie sul piano giuridico (ad esempio le modalità per la raccolta dei consensi, necessari per la finalità di marketing), sia sotto il profilo della sicurezza (ad esempio l’individuazione delle corrette modalità di archiviazione delle mailing list).
La costruzione della mailing list, d’altro canto, deve rispondere a logiche di privacy by design (e al correlato principio di minimizzazione): se l’invio delle comunicazioni a carattere promozionale avviene tramite posta elettronica, possono risultare sufficienti il nominativo e l’indirizzo di posta elettronica dei clienti. Il numero di telefono, viceversa, non dovrebbe essere richiesto, salvo che il titolare non sia in grado di dimostrare che la raccolta di tale informazione è indispensabile e per quali motivi[7].
In merito alle best practices da adottare, le linee guida dell’EDPB forniscono un nutrito elenco di raccomandazioni per i titolari (par. 6) – alle quali, per ragioni di sintesi, si rinvia – da contestualizzare in base al proprio ambito operativo, nonché alla tipologia, agli strumenti e ai processi che connotano il trattamento di futura adozione.
Note
[1] Linee guida 4/2019 sull’articolo 25 Protezione dei dati fin dalla progettazione e per impostazione predefinita, adottate il 20 ottobre 2020.
[2] Cfr. con le “sintesi” delle Linee guida.
[3] Ibidem. Inoltre, viene chiarito come anche “i sistemi progettati prima dell’entrata in vigore del [GDPR] devono essere sottoposti a verifiche e manutenzione per garantire l’applicazione” di tale principio (cfr. par. 2.1.4.2, n. 38, delle linee guida).
[4] Par. 2.1.4.1, n. 35, Linee guida 4/2019 EDPB.
[5] Par. 2.1.4.1, n. 36, Linee guida 4/2019 EDPB.
[6] Tra i compiti del DPO delineati all’art. 39 GDPR, vi è anche quello di “informare e fornire consulenza al titolare del trattamento […] in merito agli obblighi derivanti dal […] regolamento”.
[7] In questa prospettiva cfr. par. 3.5, esempio 1, delle Linee guida.
