I principi di privacy by default e privacy by design sono due concetti fondamentali per l'adeguatezza alla compliance al GDPR.
In particolare, questi due principi fanno riferimento alla gestione tecnologica del dato ma spesso sono confusi o addirittura ignorati con gravi conseguenze per la tutela della privacy.
Scopriamo in cosa consistono i principi di privacy by default e privacy by design e cosa occorre fare per rispettarli ed evitare possibili sanzioni.
In particolare, questi due principi fanno riferimento alla gestione tecnologica del dato ma spesso sono confusi o addirittura ignorati con gravi conseguenze per la tutela della privacy.
Scopriamo in cosa consistono i principi di privacy by default e privacy by design e cosa occorre fare per rispettarli ed evitare possibili sanzioni.
PRIVACY BY DEFAULT E PRIVACY BY DESIGN, LE NOVITÀ INTRODOTTE DALL’ART 25 GDPR
Tra le novità più d’impatto introdotte dal GDPR, oltre alla nomina del responsabile del trattamento, è la previsione della privacy by design.
Il regolamento europeo per la protezione dei dati personali impone, infatti, al titolare del trattamento l’obbligo di adottare tutte quelle misure tecniche ed organizzative atte alla tutela dei dati che sottoposti a rischio di trattamenti illeciti.
In particolare, è l’articolo 25 che introduce due principi fondamentali: il principio di privacy by design e privacy by default.
Questi rappresentano due termini importanti cui il titolare del trattamento deve fare riferimento all’interno della propria azienda.
L’articolo 25, nello specifico prevede già gli strumenti che, nello svolgimento della propria attività, il titolare deve prevedere fin da subito al fine di evitare i rischi in cui possono ricadere i dati personali trattati, di conseguenza potranno scegliere di quali strumenti dotarsi.
Entrambi i principi di privacy by design e privacy by default in realtà fanno proprio riferimento alla gestione tecnologica del dato; infatti, l’intento del legislatore comunitario è proprio quello di stimolare l’adozione di strumenti di raccolta dei dati che garantiscano il rispetto totale dei principi sanciti nel Regolamento stesso.
LA PRIVACY BY DEFAULT
Il principio di privacy by default, che significa proprio “protezione per impostazione predefinita“, stabilisce che, appunto già come impostazione predefinita, le imprese hanno il dovere di trattare solo i dati personali nella misura necessaria e sufficiente per le finalità dell’attività svolta e per il periodo strettamente necessario a tale fine.
Ciò significa che un’azienda in linea generale dovrebbe astenersi dal trattare dei dati personali senza motivi specifici.
Con la privacy by default si va, quindi, a garantire un limitato accesso ai dati personali, che saranno così disponibili solo a un numero definito di persone e al contempo si garantisce anche agli interessati una trasparenza su quelle che sono le finalità per le quali vengono raccolti i propri dati.
Il titolare del trattamento sarà, dunque, portato ad assumere tutte quelle misure tecniche e organizzative atte a proteggere i dati personali all’interno della propria azienda.
Il principio in generale si riferisce a tutti gli aspetti del trattamento, e quindi non solo alla quantità e qualità dei dati, ma anche al periodo di trattamento degli stessi e ai soggetti che possono accedere ai dati.
LA PRIVACY BY DESIGN
Con il concetto di Privacy by design si introduce, invece, la gestione dei dati personali come uno step necessario, dal quale non si può prescindere, sin dalla progettazione di un servizio o prodotto che comporti una qualsiasi raccolta di dati personali.
Detto concetto fu introdotto già introdotto nel 2010 e implica proprio l’idea di prevenzione rischi, e può essere così riassunto:
- Prevenire per non correggere eventuali problemi nella fase iniziale, e quindi nella fase di progettazione
- Privacy come impostazione di default
- Privacy incorporata nel progetto di un’azienda
- Funzionalità e flessibilità ottimale, in modo tale da rispettare tutte le esigenze dell’azienda
- Sicurezza dei dati durante tutto il ciclo del prodotto o servizio aziendale
- Principio della trasparenza
- Centralità dell’utente
In definitiva è necessario tutelare non solo i dati personali del soggetto, ma anche il soggetto stesso per far sì che vi sia una conformità con il regolamento.
L’articolo 25 del GDPR riporta propriamente un approccio basato sulla valutazione del rischio (risk based approach), ovvero un approccio basato sulla misurazione di responsabilità del titolare o del responsabile del trattamento e per effettuare una valutazione del genere bisogna tenere in considerazione molteplici fattori.
Ad aiutare nel fare questa analisi, sono proprio alcuni dati che ci indicano per l’appunto come bisogna impostare le dovute e adeguate misure di sicurezza, quale a titolo esemplificativo ma non esaustivo la natura del dato e la portata dello stesso.
L’obbligo della valutazione del rischio ha sicuramente quale svantaggio il fatto che si deleghi l’azienda stessa alla valutazione, ma ha quale vantaggio quello di essere più flessibile e adattabile a seconda delle esigenze e degli strumenti tecnologici in possesso dell’azienda.
Tale valutazione del rischio andrà fatta al momento della progettazione del sistema; quindi, prima che il trattamento dei dati abbia inizio.
Certamente si dovrà tenere conto anche del tipo di dati trattati, per cui in presenza di un trattamento che coinvolge dati di minori gli obblighi dovranno essere più stringenti, in considerazione del fatto che il rischio è maggiore.
Infine, si dovrà tenere conto dello stato della tecnologia, per cui il trattamento va adattato nel corso del tempo.
PRIVACY BY DEFAULT E PRIVACY BY DESIGN, COME DEVE COMPORTARSI L’AZIENDA
Al fine di mettere in pratica questi due principi, un’azienda, nella persona del titolare del trattamento, deve anzitutto definire e impostare il default settings e quindi definire, in base alle proprie finalità, i dati minimi che andranno raccolti per ciascun interessato, attuando quindi quello che è il principio di minimizzazione, definito dal legislatore insieme alla pseudonimizzazione.
Inoltre, deve stabilire quanto tempo sarà necessario conservare i dati raccolti, garantendo quindi di non oltrepassare questi limiti di conservazione e accertarsi che non avvenga l’accesso ad un numero indefinito di dati personali da parte di macchine non utilizzate direttamente dalla persona fisica.
Chiaramente i due concetti mirano ad una gestione tecnologica della privacy ed occorre quindi progettare e poi adattare correttamente il software che gestirà i dati personali degli interessati.
È proprio tramite la tecnologia che si può intervenire tempestivamente nella gestione del trattamento ed azzerare così i rischi di violazione di privacy.
L’utilizzo di software e applicativi di aziende terze comporta che sia direttamente l’azienda terza a dover sviluppare le valutazioni del rischio dell’uso dell’applicativo, che ovviamente va disegnato in maniera conforme al regolamento.
Un adempimento che comprovi l’adeguamento a queste misure da parte del titolare è sicuramente l’ottenimento di una certificazione.
L’adeguamento a detti principi è sicuramente necessario, ma anche conveniente per le aziende che non vogliano incorrere in sanzioni amministrative esose; infatti, queste possono ammontare fino a 20 milioni di euro per i privati e fino al 4% del fatturato per le imprese.
In conclusione, dunque, un’azienda per essere definita accountable (vedi qui il nostro articolo sul principio Accountability nel GDPR) deve essere certificata in tutta la sua catena dei comportamenti e della compliance al GDPR.
Se per la tua attività hai necessità di conformarti a quanto prescritto dal GDPR, contattaci subito per evitare possibili sanzioni.
Scrivici all’indirizzo di posta elettronica info@abinnovationconsulting.com, oppure compila il modulo seguente.
