Compliance, Guida

GDPR, privacy by design e by default: differenze e linee guida

Da quando il GDPR (General Data Protection Regulation) o Regolamento Generale per la protezione dei dati personali è entrato in vigore nel 2018, è cambiata la gestione di tutti i dati. Le novità principali che hanno cambiato le carte in gioco sono state:

  • l’uniformazione della tutela della privacy a livello europeo;
  • e l’inasprimento delle sanzioni in caso di violazione.

Accanto a queste importanti novità, con il GDPR è stato introdotto anche un nuovo approccio responsabilizzante alla tutela dei dati personali, attraverso due principi (di cui si parla nell’articolo 25 del Regolamento): privacy by design e privacy by default. La corretta traduzione letterale dei due principi corrisponde a “protezione dei dati fin dalla progettazione” e “protezione dati per impostazione predefinita”.

Si tratta in sostanza di due principi rivolti alla tutela dei dati personali volti a valutare e mitigare preventivamente il rischio di violazione, perdita, distruzione, utilizzo illegittimo dei dati, cioè di data breach. La finalità è in ogni caso la protezione del soggetto i cui dati sono trattati, ciò che cambia è l’impostazione che viene data al trattamento.

Il Comitato europeo dei Garanti (European Data protection Board, EDPB), è l’ente che contribuisce in modo fondamentale al rispetto degli obblighi di legge per gli stati membri attraverso una costante vigilanza, finalizzata a una corretta applicazione del Regolamento sia per quanto riguarda i diritti riconosciuti ai cittadini europei che per  gli obblighi in capo ad aziende, enti e titolari del trattamento. L’azione dell’EDPB si esprime anche attraverso provvedimenti noti come “linee guida”, che consistono in chiarimenti su singoli aspetti inerenti la legislazione per la protezione dei dati personali in vigore.

Nel mese di ottobre del 2020 l’EDBP ha adottato le linee guida circa la corretta applicazione dei principi di data protection by design e data protection by default stabiliti dall’articolo 25 GDPR: un provvedimento importante, in grado di fornire una guida generale sull’obbligo di protezione dei dati fin dalla progettazione e per impostazione predefinita a cui ha fatto seguito anche la pubblicazione di analogo vademecum da parte del Garante per la Protezione dei dati personale italiano.

Ne analizziamo gli aspetti più importanti.

Privacy by design

Il principio di privacy by design è stato introdotto nel 2010 da Ann Cavoukian, Privacy Commissioner dell’Ontario (Canada).

L’utilizzo di questo principio all’interno del GDPR vuole fare riferimento alla necessità di considerare la privacy e la protezione dei dati personali in ogni processo e attività aziendale, sin dalla loro progettazione.

Ogni tipo di operazione che coinvolge il trattamento di dati personali deve essere progettata facendo riferimento alla tutela e alla protezione dei dati. Ciò richiede di tenere in considerazione aspetti come la natura del trattamento, l’ambito di applicazione, il contesto, le finalità, i mezzi utilizzati e tanto altro.

Alla base di questo concetto sono presenti i seguenti principi:

  • prevenire e non correggere: i problemi vanno valutati nella fase di progettazione, e l’applicativo deve prevenire il verificarsi dei rischi;
  • privacy come impostazione di default: ad esempio, non deve essere obbligatorio compilare un campo di un form il cui conferimento di dati è facoltativo;
  • privacy incorporata nel progetto: ad esempio, l’utilizzo di tecniche di pseudonimizzazione o minimizzazione dei dati;
  • massima funzionalità, in modo da rispettare tutte le esigenze;
  • sicurezza durante tutto il ciclo del prodotto o servizio;
  • visibilità e trasparenza del trattamento: tutte le fasi operative devono essere trasparenti in modo che sia verificabile la tutela dei dati;
  • centralità dell’utente: tutela effettiva da un punto sostanziale, non solo formale. Non è sufficiente che la progettazione dei sistemi sia conforme alla norma se poi l’utente non è tutelato.

La privacy by design, quindi, non contempla valutazioni di conformità successive alla realizzazione del progetto: ogni rischio e ogni ipotetica situazione vanno considerate prima.

Privacy by default

La privacy by default significa che il titolare del trattamento deve adottare misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.

La privacy by default viene analizzata in quattro distinti aspetti:

  1. la minimizzazione;
  2. la portata del trattamento;
  3. il periodo di trattamento;
  4. l’accessibilità dei dati personali.

Il primo punto riprende il principio di necessità: non si trattano i dati più a lungo di ciò che è necessario, conservandoli fino a quando se ne ha veramente bisogno. Obbligatoria deve essere una dimensione minima delle categorie e dei volumi di dati da raccogliere, che devono essere strettamente essenziali e coerenti con la finalità del trattamento. In tal senso quindi meno dati si hanno a disposizione, meno rischi corro e meno responsabilità ci si assume.

A questi aspetti è, ovviamente, legato anche il periodo di trattamento, che deve essere predefinito e rispettato, prevendendo una volta terminato di anonimizzare o cancellare i dati in modo automatico. Da ultimo, i dati personali devono, seguendo tale percorso logico, mantenere intatta la loro accessibilità, tale per cui l’interessato possa essere in ogni momento messo in condizioni di usufruire dei suoi diritti quali la portabilità, l’aggiornamento, la veridicità, la cancellazione, e l’oblio.

In sostanza, con la privacy by default si garantisce la tutela della vita privata per impostazione predefinita.

La centralità dell’utente

Privacy by design e by default sono due principi cardine del GDPR; su questi si fonda il nuovo approccio responsabilizzante della norma, che assegna al titolare del trattamento il compito di analizzare i dati trattati, le finalità, la durata necessaria, dovendo introdurre tutte le misure organizzative e tecniche utili per mitigare il rischio sui dati.

Sono  dunque due approcci, legati tra loro, per lo sviluppo di strumenti, processi, luoghi e situazioni che garantiscano un più alto livello di tutele in caso di trattamento di dati personali.

Non esistono però modelli preconfezionati e ogni caso va valutato singolarmente. Lo stesso GDPR specifica che le misure di protezione della privacy vanno messe in atto “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento”.

Al di là degli aspetti puramente pratici, il GDPR chiede alle aziende una cosa, tutto sommato, semplice: cambiare il modo in cui pensano i propri processi, mettendo l’utente al centro di tutto.

Intrusa ti offre una soluzione di Audit & Compliance con un set di funzionalità utili a garantire la protezione dei dati personali in conformità alle normative vigenti. Scopri di più su Intrusa e contattaci per una demo personalizzata.