Uno degli articoli più commentati del Reg. UE 2016/679 (“GDPR”) è l’articolo 25. L’articolo riporta due principi fondamentali: la “privacy by design” e la “privacy by default” (a loro volta associati a quanto contenuto nel principio c.d. di “accountability”). Analizziamo quindi questi due concetti separatamente, per meglio comprenderne la portata.
Indice
Cosa si intende con “privacy by design”?
L’espressione “Privacy by design” fa riferimento all’attenzione per la corretta gestione e tutela del dato personale, da applicare sin dal momento della progettazione e dello sviluppo di sistemi informatici che ne prevedano il trattamento. L’origine del principio va ricercata negli anni Novanta, quando ci si è resi conto dell’impatto sempre maggiore delle nuove tecnologie sul diritto alla privacy, e si è raccomandato l’utilizzo delle c.d. P.E.T. (Privacy Enhancing Technologies), tecnologie volte a migliorare la riservatezza e la protezione dei dati degli utenti, limitando i trattamenti non necessari, e dando all’utente maggior potere e controllo sui propri dati personali.
È nel 2010, con la 32ma Conferenza mondiale dei Garanti della privacy (ICDPPC International Conference of Data Protection & Privacy Commissioners) tenutasi a Gerusalemme, che viene adottata la Resolution on Privacy by design.
Secondo il primo paragrafo dell’articolo 25 del GDPR:
“Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.”
Al Titolare, quindi, è richiesto di adottare e attuare, sin dal momento della progettazione (oltre che nell’esecuzione del trattamento), misure tecniche e organizzative che risultino efficaci a garantire i principi di protezione dei dati.
Cosa vuol dire “privacy by default”?
In ambito informatico, l’impostazione predefinita (il “default”), è quel valore preesistente assegnato a un parametro o a un’impostazione configurabile, come l’«impostazione di fabbrica» di un dispositivo elettronico.
Il concetto di impostazione predefinita applicata all’ambito privacy, la privacy by default, si focalizza sulla definizione di base di quelle opzioni e caratteristiche di un’attività di trattamento con cui si determinano la quantità dei dati personali raccolti, la durata della loro conservazione, e ogni altra caratteristica che possa incidere sui rischi del trattamento. Se il trattamento si svolge con sistemi informatici, ovviamente, il termine “Privacy by default” include la configurazione tecnica di tali sistemi.
Nello specifico, il secondo paragrafo dell’articolo 25 del GDPR stabilisce che:
“Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.”
Sostanzialmente, tale principio prevede che il titolare scelga, per impostazione predefinita, di svolgere solo i trattamenti di dati personali strettamente necessari a conseguire la specifica e lecita finalità che ha stabilito, nel pieno rispetto dei principi generali di minimizzazione dei dati (non raccogliere più dati del necessario), limitazione delle finalità (non trattare i dati per scopi diversi da quelli stabiliti), e limitazione della conservazione (non mantenere i dati quando non sono più necessari).
L’impostazione di default dev’essere quella di maggior tutela per l’interessato, poiché si riconosce all’utente una certa inerzia rispetto alle possibilità di scelta, e una connessa tendenza a mantenersi ancorati alle impostazioni predefinite.
Come rispettare il principio della privacy by design?
Secondo l’impostazione della privacy by design, l’utente è considerato il centro del sistema privacy (che per definizione dev’essere “user centric”). Qualsiasi progetto (sia strutturale sia concettuale) va realizzato considerando fin dalla progettazione (appunto, “by design”) la riservatezza e la protezione dei dati personali.
La Privacy by design – secondo la risoluzione del 2010 – comprende una trilogia di applicazioni:
• Progettazione di sistemi IT
• Pratiche commerciali corrette
• Strutture e infrastrutture di rete
Nella risoluzione vengono poi individuati i seguenti sette principi fondamentali che esprimono pienamente l’intero senso di questa prospettiva:
In termini pratici, l’articolo 25 non richiede l’attuazione di misure tecniche e organizzative specifiche, bensì che le misure e le garanzie scelte siano specificamente connesse all’attuazione dei principi di protezione dei dati. Tali misure e garanzie dovranno quindi essere “adeguate”, e il requisito di adeguatezza è strettamente connesso al concetto di efficacia: per dimostrarla si potranno definire degli indicatori chiave di prestazione (KPI), o alternativamente indicare i criteri qualitativi alla base della loro scelta.
Gli elementi di cui tenere conto per determinare le misure di sicurezza devono comunque includere:
• Stato dell’arte: ovvero l’evoluzione della tecnologia disponibile sul mercato, da valutarsi continuativamente, nonché gli standard, certificazioni e codici di condotta esistenti e riconosciuti.
• Costi di attuazione: in termini economici, di tempo e risorse umane implicate, al fine di evitare l’impiego eccessivo di risorse per l’attuazione
• Natura, ambito di applicazione, contesto e finalità del trattamento: le caratteristiche intrinseche del trattamento, la sua dimensione e ampiezza e il grado di impatto sugli interessati (es. considerando ad es., dati particolari, processi decisionali automatizzati, facilità nell’esercizio dei diritti, ecc.)
• Rischi del trattamento: da determinarsi secondo la loro probabilità e gravità al fine di attuare misure efficaci di mitigazione di tali rischi, e rilevare i casi in cui sia necessario svolgere una valutazione d’impatto ai sensi dell’art. 35 GDPR.
Come adeguarsi al principio di privacy by default?
In generale, il Titolare deve:
• impostare il default settings tenendo conto delle opzioni che un utente ben informato e competente sceglierebbe, se ne avesse la possibilità;
• attuare il principio della minimizzazione: non possono essere trattati dati personali ulteriori rispetto a quelli minimi indispensabili per ogni specifica finalità;
• garantire che i dati raccolti non siano conservati per tempi ulteriori rispetto a quelli minimi necessari;
• assicurarsi che l’accesso ad un numero indefinito di dati personali da parte di macchine (“senza l’intervento della persona fisica”) non sia possibile.
Se il titolare utilizza software commerciali o di terzi, deve accertarsi che siano disattivate le funzioni che non hanno una base giuridica o non sono compatibili con le finalità previste del trattamento, e fare sempre in modo di trattare soltanto la quantità minima di dati personali necessari per i trattamenti specifici. I titolari dovrebbero quindi tenere conto sia del volume dei dati personali sia delle tipologie, delle categorie e del livello di dettaglio dei dati personali richiesti per le finalità del trattamento.
I dati personali raccolti non devono essere conservati se non sono necessari per la finalità del trattamento e non sussiste altra finalità compatibile né altro fondamento giuridico. Qualsiasi conservazione dev’essere obiettivamente giustificabile in quanto necessaria, e il periodo di conservazione dev’essere limitato all’arco di tempo necessario per il raggiungimento della specifica finalità. Se i dati personali non sono più necessari ai fini del trattamento, allora per vanno cancellati. L’anonimizzazione dei dati personali costituisce un’alternativa alla cancellazione, a condizione che siano presi in considerazione i rischi, compreso quello di re-identificazione. Per garantire la corretta applicazione di queste pratiche, l’ideale è disporre di procedure sistematiche, integrate nel trattamento, e verificate, che consentano la corretta cancellazione o anonimizzazione dei dati.
Il titolare dovrebbe altresì limitare l’accesso (e la tipologia di accesso) ai dati personali alle sole persone autorizzate in base alla reale necessità, assicurandosi comunque che i dati personali siano realmente accessibili a chi ne ha bisogno, in caso di bisogno, ad esempio in situazioni critiche.
Alcune attenzioni specifiche sono poi utili se si prevede di rendere pubblici i dati: è opportuno, ad esempio, dare all’interessato la possibilità di intervenire prima di rendere disponibili i suoi dati personali a un numero indefinito di persone fisiche, soprattutto nel contesto di Internet, dei motori di ricerca, o in caso di minori e gruppi vulnerabili.
Rischi e sanzioni
Infine, sull’articolo 25 è importante segnalare l’aspetto sanzionatorio.
Vista la rilevanza del punto della norma, finalizzato a garantire il rispetto dei principi fondamentali, l’Autorità Garante ha spesso richiamato la violazione dell’art. 25 anche in caso di Provvedimenti di natura più ampia.
La sanzione applicabile può arrivare sino a € 10.000.000,00 il 2% del fatturato annuale, ma l’articolo art. 83, comma 2, lett. d specifica che il quantum della sanzione va valutato tenendo conto delle misure tecniche ed organizzative messe in atto caso per caso.
La sanzione ricade sul titolare o responsabile, su cui, quindi ricadono gli obblighi di verificare il rispetto dell’articolo 25 anche su software o sistemi dei propri fornitori.
Per citare alcuni casi noti, in Italia l’Art. 25 è stato richiamato nei Provvedimento del 2021 ai danni di:
– Istituto Nazionale di Previdenza Sociale (INPS), sanzione di 300.000€
– Aeroporto Guglielmo Marconi di Bologna, sanzione di 40.000€
– Comune di Palermo, sanzione di 40.000€
Riferimenti normativi
Articolo 25 – Regolamento UE 679/2016
Considerando 75 e 78 – Regolamento UE 679/2016
Linee guida 4/2019 dell’European Data Protection Board
Resolution on Privacy by design (32° International Conference of Data Protection & Privacy Commissioners, Gerusalemme 2010)