Privacy by design e privacy by default sono due principi essenziali del GDPR. Ma cosa significano queste definizioni e che differenze ci sono? 

L'art 25 del GDPR e le Linee Guida 4/2019

Il GDPR prevede che titolare e responsabile del trattamento valutino attentamente il livello di rischio di ogni singolo trattamento di dati personali. Le misure di sicurezza poste a protezione dei dati devono quindi essere approntate tenendo di conto il singolo trattamento. I principi di privacy by design e privacy by default prevedono l'obbligo per le aziende di avviare un progetto tenendo di conto e prevedendo, fin da subito, i giusti strumenti e le corrette impostazioni a protezione dei dati personali. 

Le linee Guida 4/2019 dell'EDPB regolano e ampliano ulteriormente la portata di questi due principi, profondamente e direttamente legati al principio di accountability.

Il pilastri del GDPR > Il principio di Accountability nel GDPR e i documenti utili

La valutazione del rischio 

L'introduzione dei principi di Privacy by default e by design obbliga, tra le altre cose, le aziende ad una valutazione attenta dell'impatto che il trattamento può avere sui dati personali. Insomma le aziende devono svolgere preventivamente una valutazione di impatto privacy ogni volta che un trattamento dati comporta un rischio elevato per gli interessati oppure nei casi in cui il GDPR richiede esplicitamente il PIA.

Ricordiamo che l'uso di applicativi di terze parti comporta l'obbligo, in capo alle terze parti, di valutare i rischi dell'uso dell'applicativo, che, in teoria, dovrebbe essere sviluppato in conformità col GDPR.

Per saperne di più > Garante francese: guida al GDPR per sviluppo software

Il principio di Privacy by Design 

Il principio di Privacy by Design non nasce col GDPR. Risale al 2010 circa ed è stato poi adottato come principio cardine dalla 32° Conferenza Mondiale dei Garanti Privacy. I 7 principi che reggono il Privacy by Design sono: 

• prevenire, non correggere: i problemi e i rischi vanno valutati in fase di progettazione. L'applicativo usato per il trattamento dati deve essere stato sviluppato in maniera tale da prevenire il verificarsi di rischi;
• la privacy come "impostazione di default": un esempio? Il trattamento dati deve essere minimizzato, quindi un applicativo non deve rendere obbligatorio per l'utente il comunicare dati non necessari per il trattamento;
• il trattamento deve essere SEMPRE orientato al rispetto della privacy: come? Minimizzando il trattamento, prevedendo tecniche di pseudonimizzazione / anonimizzazione dei dati raccolti e trattati ecc…
• la sicurezza dei dati è centrale e va garantita lungo tutto il ciclo di vita del prodotto o servizio;
• visibilità e trasparenza: le aziende devono garantire agli utenti la massima visibilità e trasparenza del trattamento svolto per ogni singola fase operativa dello stesso;
• massima funzionalità del trattamento;
• centralità dell'utente: il GDPR impone come primario il rispetto dei diritti dell'interessato, compreso il diritto degli utenti di ricevere tempestivi e chiari riscontri alle richieste di accesso ai dati. 

Che cosa possiamo dedurre da questi punti? In un sistema tale di protezione dei dati, la tutela che il titolare del trattamento deve garantire si fa sostanziale e non solo formale. Titolare e responsabile devono essere PROATTIVI E PREVENTIVI, facendo valutazionio di rischio e predisponendo le necessarie misure tecniche ed organizzative necessarie a garantire i diritti dell'interessato e l'applicazione dei principi del GDPR. 

Declinare in concreto il principio di Privacy by Design

Concretamente parlando, l'azienda che deve implementare il principio di Privacy By Design dovrà tenere di conto questi elementi: 

• il contesto, la natura, l'ambito di applicazione, le finalità del trattamento dei dati;
• i potenziali rischi in termini di libertà e diritti degli interessati;
• lo stato dell'arte, ovvero le tecnologie disponibili sul mercato e i progressi;
• i costi di attuazione in termini di tempo e risorse umane, evitando l'uso sproporzionato di risorse. 

Per approfondire > Valutazione d’impatto protezione dei dati (DPIA) e rischio del trattamento

Il principio di Privacy By Default

Il principio di Privacy By Default, ovvero Privacy per impostazione predefinita, prevede che il titolare individui, PRIMA di iniziare il trattamento, quali dati personali sono assolutamente necessari rispetto alla finalità specifico del trattamento. Perché? Perché il titolare ha l'obbligo di tutelare al massimo possibile la riservatezza dei dati personali. Estensione immediata e diretta, nonchè pratica, della Privacy By Default è il principio di Minimizzazione del trattamento, per il quale è necessario considerare attentamente il tipo di trattamento, i dati necessari e le giustificazioni (per finalità e per base legale) al trattamento stesso.

Anche il periodo di conservazione dei dati, che deve limitarsi strettamente al periodo di tempo necessario rispetto alle finalità del trattamento, è un'estensione del principio di Privacy By Default.

Ancora: limitare l'accesso ai dati personali soltanto al personale che ha davvero necessità di accedere a quei dati per svolgere le proprie mansioni lavorative è, anch'esso, un aspetto di applicazione del principio di Privacy By Default. 

L'EDPB spiega la Privacy By Default in 3 punti

L'EDPB ha individuato, nelle proprie linee guida, tre diverse strategie per applicare la Privacy By Default. Ovvero: 

• Ottimizzare il trattamento in termini di protezione dei dati, implementando misure riguardanti quantità di dati raccolti, entità del trattamento, conservazione e accessibilità dei dati.
• Configurare: gli applicativi, i sistemi, i dispositivi in uso per il trattamento dati devono prevedere la possibilità di configurare le impostazioni. L'utente deve avere accesso ad una parte di queste impostazioni.
• Limitare: il trattamento dati non può essere eccessivo, ovvero deve prevedere i trattamento soltanto die dati necessari per la finalità prevista. Di conseguenza l'intero trattamento deve incentrarsi sul rispetto della privacy degli utenti in termini di quantità e tipologia di dati raccolti, entità del trattamento, conservazione dei dati. Privacy By Default, appunto.