Privacy by design e privacy by default

I principi della c.d. “privacy by design” e “privacy by default”, congiuntamente col principio della c.d. “accountability” (con cui si pongono in stretto contatto), rappresentano un punto focale del Regolamento UE n. 679/2016 (“GDPR” o “Regolamento”), connotando quella che è stata la ratio legis del Legislatore comunitario nell’elaborazione della nuova normativa europea in materia di trattamento dei dati personali.

In particolare, alla base del Regolamento, traspare chiaramente la necessità di introdurre un generale principio di responsabilità che richieda ai titolari e ai responsabili del trattamento di mettere in atto misure adeguate ed efficaci per garantire che gli obblighi normativamente prescritti siano effettivamente rispettati. Al tempo stesso, sussiste la parallela esigenza di lasciar spazio ad una certa adattabilità che consenta di determinare le misure concrete da applicare in funzione dei rischi connessi al trattamento e dei tipi di dati trattati.

L’anzidetta necessità di dimostrare la conformità a quanto disposto dal GDPR è percepita “fin dalla progettazione”[1] del trattamento (“privacy by design”) e dovrebbe concretarsi in misure che garantiscano una “protezione dei dati per impostazione predefinita”[2] (“privacy by default”), a tali fini adottando adeguate misure tecniche e organizzative che “potrebbero consistere, tra l’altro, nel ridurre al minimo il trattamento dei dati personali, pseudonimizzare i dati personali il più presto possibile, offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, consentire all’interessato di controllare il trattamento dei dati e consentire al titolare del trattamento di creare e migliorare caratteristiche di sicurezza”[3].

Quanto argomentato all’interno del descritto considerando 78, è stato sostanzialmente ripreso dall’art. 25 del GDPR a mente del quale, con riferimento al principio della “privacy by design”, si sottolinea come la protezione dei dati sin dalla progettazione debba tener conto dello stato dell’arte, dei costi di attuazione, del contesto e delle finalità del trattamento, nonché dei rischi allo stesso connaturati.

Riguardo al principio della “privacy by default”, il medesimo articolo prescrive che le necessarie misure tecniche ed organizzative ineriscano alla quantità dei dati personali raccolti, alla portata del trattamento, al periodo di conservazione e all’accessibilità. In particolare, dette misure mirano ad evitare che, per impostazione predefinita, un numero indefinito di individui possa accedere ad un numero indefinito di dati personali, eccetto il caso in cui venga posto in essere un intervento umano orientato in tal senso.

Dunque, risulta essenziale per ogni titolare inserire nella propria organizzazione un processo che consenta di verificare se i nuovi trattamenti – prima di esser avviati – rispettino puntualmente quanto previsto dalla disposizione in esame, al fine di evitare sia potenziali sanzioni amministrative (che possono arrivare fino a € 10.000.000,00 o, per le imprese, fino al 2% del fatturato annuale, se superiore), che richieste risarcitorie. A ciò si aggiunga che sarebbe auspicabile gestire il processo privacy by design e privacy by default digitalmente, al fine di avere una gestione efficace del processo ed aumentando anche la propria competitività sul mercato.

[1] Cfr. considerando 78 del GDPR.

[2] Cfr. considerando 78 del GDPR.

[3] Cfr. considerando 78 del GDPR.