Privacy by Design: cosa significa e come si applica

La privacy by design è un approccio fondamentale per garantire la protezione dei dati personali, integrando il rispetto della privacy fin dalla fase di progettazione di sistemi e processi. Questo principio è regolato dall’articolo 25 del GDPR (General Data Protection Regulation) e dalle Guidelines 4/2019 on Article 25 Data Protection by Design and Default. Insieme alla privacy by default, questi due principi mirano a sviluppare soluzioni che favoriscano trasparenza e controllo sui dati personali.

– Cosa vuol dire la “privacy by design”?

– Privacy by Design e principi del GDPR

– Data protection by design e by default: la differenza

– Esempi di privacy by design e privacy by default

– Privacy by design: i vantaggi

– Consulenza standard

Come previsto dall’articolo 25, paragrafo 1, del GDPR, la privacy by design impone al titolare del trattamento (controller) l’obbligo di adottare “misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, come la minimizzazione, e ad integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”.

Questo concetto, sviluppato nel 2010 dalla Commissaria per la Privacy Ann Cavoukian e successivamente adottato durante la 32ª Conferenza mondiale dei Garanti per la privacy, si basa sull’idea che la privacy non debba essere un aspetto secondario, ma un elemento integrante di qualsiasi iniziativa o progetto.

La privacy by design presuppone che il titolare del trattamento adotti misure organizzative e tecniche adeguate al tipo di trattamento svolto, con l’obiettivo di attuare in modo efficace i principi della protezione dei dati.

Per garantirne il massimo rispetto, è fondamentale considerare i seguenti elementi:

• I costi di attuazione delle misure individuate, che devono essere proporzionali al rischio;
• Il contesto e le finalità del trattamento;
• La natura e l’ambito di applicazione (e.g., dimensione e ampiezza del trattamento);
• I progressi tecnologici e lo stato dell’arte degli avanzamenti compiuti dalla tecnologia;
• La misura del rischio e l’impatto per i diritti e le libertà delle persone fisiche;
• L’aspetto temporale

Come anticipato, la privacy by design e il GDPR sono strettamente legati, poiché i principi del regolamento trovano attuazione pratica proprio attraverso questo approccio.

Nello specifico, il GDPR (Art. 5) si basa su principi fondamentali, tra cui:

• Liceità, corretezza e trasparenza
• Limitazione della finalità
• Minimizzazione dei dati
• Esattezza
• Limitazione della conservazione
• Integrità e riservatezza
• Responsabilizzazione

È qui che la privacy by design (PbD) diventa uno strumento operativo, traducendo questi sette principi astratti in azioni concrete.

Ad esempio, il principio di responsabilizzazione (Art. 5.2 GDPR), che impone ai titolari del trattamento di dimostrare la conformità al regolamento, si realizza attraverso il PbD mediante l’adozione di meccanismi come la documentazione dettagliata dei processi, la valutazione d’impatto (Data Protection Impact Assessment – DPIA) e l’integrazione di tecnologie privacy-enhancing (PETs), come la crittografia end-to-end.

Allo stesso modo, il principio di minimizzazione dei dati (Art. 5.1 GDPR) prevede, secondo l’approccio PbD, che i Titolari del Trattamento raccolgano solo i dati strettamente necessari, ad esempio attraverso form con campi opzionali disattivati di default, oppure attraverso l’uso di tecnologie di data masking (come il processo di hashing per trasformare le password in stringhe in valori di lunghezza fissa e tendenzialmente non reversibili).

Dall’articolo 25 del GDPR si evince che l’approccio è centrato sulla valutazione del rischio, così come avviene per molti altri obblighi e regolamenti europei in materia (ad esempio, l’AI Act). Attraverso questa valutazione, le aziende determinano le misure da adottare e definiscono di conseguenza le proprie responsabilità, sia come titolari che come responsabili del trattamento.

La valutazione del rischio viene eseguita nella fase di progettazione del sistema che tratterà i dati personali, anticipando eventuali ripercussioni sulla privacy degli interessati. Maggiore è il rischio individuato (ad esempio, nel caso di dati sensibili o di minori), maggiori saranno gli obblighi e le precauzioni necessarie.

La privacy by design e la privacy by default sono due principi distinti ma complementari all’interno del GDPR.

La privacy by design prevede l’integrazione della protezione dei dati fin dalle prime fasi di progettazione di sistemi e processi, fino alla loro successiva implementazione (deployment). La privacy by default, invece, implica l’adozione di impostazioni predefinite che garantiscano il massimo livello di protezione dei dati senza richiedere un’azione specifica da parte dell’utente. È il livello di privacy a cui, per esempio, dovremmo poter usufruire fin dal primo accesso come utenti di un App.

I titolari del trattamento devono trattare i dati personali solo nella misura necessaria per le finalità previste e per il periodo strettamente necessario. Questo principio riguarda tutti gli aspetti del trattamento, dalla qualità e quantità dei dati raccolti, fino alla loro conservazione, gestione e utilizzo.

Entrambi i principi devono essere rispettati:

• Durante la fase di design, ovvero “nel momento in cui i mezzi del trattamento sono determinati” (ad esempio, nella fase di identificazione delle attività di trattamento).
• Durante l’intero ciclo di vita, ovvero “nel momento del trattamento stesso” (ad esempio, dalla raccolta dei dati fino alla loro cancellazione).

Esempi pratici di privacy by design includono:

• Utilizzo di tecniche di pseudonimizzazione o crittografia per proteggere i database ed evitare una esfiltrazione di dati personali in chiaro in caso di attacco malevolo.
• Progettazione di interfacce utente intuitive che minimizzano la raccolta dei dati (ad esempio, l’uso di form senza obbligare l’utente a rilasciare informazioni non necessarie).
• Implementazione della funzione “Do Not Track” (DNT) nei browser web.
  • Questa funzione permette agli utenti di segnalare ai siti web la propria volontà di non essere tracciati, inviando un’apposita richiesta che i siti possono rispettare o meno.

Esempi pratici di privacy by default includono:

• Una piattaforma di social media che incoraggia gli utenti a mantenere le impostazioni più restrittive per la privacy. Ad esempio, il profilo utente potrebbe essere chiuso o parzialmente chiuso fin dall’inizio, evitando che sia accessibile per impostazione predefinita ad un numero indefinito di persone;
• Un social media che non permette la condivisione dei dati a terzi, se non in caso di specifica richiesta dell’utente tramite un flag specifico.
• L’attivazione della geolocalizzazione solo in determinate funzionalità dell’App che lo richiedono necessariamente per poter erogare il servizio (es. trova i ristoranti stellati più vicini all’utente).

Chi è responsabile dell’implementazione?

I responsabili dell’implementazione sono i titolari del trattamento (data controllers). Inoltre, i titolari devono garantire che anche i responsabili del trattamento (data processors) adottino i meccanismi necessari per rispettare gli obblighi relativi alla protezione dei dati e dimostrino di attuare sufficienti garanzie per la protezione dei dati, come previsto dall’articolo 28 del GDPR.

È quindi fondamentale che i titolari effettuino un’attenta selezione dei fornitori, assicurandosi che essi rispettino gli stessi standard di sicurezza e conformità richiesti dalla normativa. L’attuale regolamentazione europea sta infatti evolvendo sempre più verso un approccio di protezione dell’intera supply chain, garantendo che la sicurezza dei dati sia rispettata a ogni livello del processo, dalla raccolta iniziale fino alla gestione da parte di terze parti.

Da questo principio ne deriva un aspetto fondamentale dell’approccio adottato dal GDPR, che prevede che la responsabilità dell’adeguamento e protezione privacy sia estesa a tutta la supply chain. Di conseguenza, è necessaria un’attenta selezione dei fornitori.

Seguendo il parare dell’EDPB (22/2024) sulla miglior gestione della privacy supply chain, il responsabile del trattamento deve verificare se i responsabili del trattamento presentino “garanzie sufficienti” del rispetto degli obblighi del regolamento, e in particolare sulla base dei rischi associati al trattamento.

Una ricerca condotta nel 2022 da Google e Ipsos ha rilevato che l’impatto negativo derivante da una protezione insufficiente dei dati è quasi equivalente a quello di una violazione dei dati. Secondo lo studio, il 43% delle persone ha dichiarato che cambierebbe servizio se trovasse una piattaforma che offra una migliore esperienza in termini di privacy. La domanda di una protezione più robusta dei dati non è solo legata alla conformità normativa, ma è sempre più vista come un elemento di differenziazione competitiva per molte aziende.

La privacy by design è fondamentale, poiché ha il potere di:

• Semplificare la conformità normativa ed evitare sanzioni legali.
• Proteggere i dati sensibili e critici.
• Evitare rischi reputazionali e ottenere un vantaggio competitivo.
• Assicurare la fiducia di utenti e consumatori con soluzioni Win-Win.

I requisiti della privacy by design non devono essere sottovalutati. Nel novembre 2022, l’Autorità irlandese per la protezione dei dati ha inflitto una multa di 265 milioni di euro a Meta per non aver implementato misure adeguate a proteggere i dati personali, portando all’esposizione di oltre 533 milioni di account Facebook. La violazione ha riguardato gli articoli 25(1) e 25(2) del GDPR.

Anche il Garante Italiano ha recentemente sanzionato un’azienda per l’uso di dark pattern, che inducevano gli utenti a fornire il consenso in modo poco trasparente, violando il GDPR.

Questi casi evidenziano l’importanza di integrare la protezione dei dati fin dalla progettazione, per evitare gravi conseguenze legali e reputazionali.

Allo stesso modo, il Garante della Protezione dei Dati Italiano (Provvedimento del 28 settembre 2023 9941232) ha emesso una sanzione di 30.000,00 € nei confronti dell’ASL Napoli 3 Sud, soggetto di un attacco ransomware a causa di misure di sicurezza inadeguate che non hanno consentito di proteggere i dati personali di 842.000 tra assistiti e dipendenti, quindi contravvenendo al principio di privacy by design.
O ancora, di recente ha inflitto ad una società operante nella fornitura dei servizi di luce e gas, una sanzione di 678.897,00 € per non aver vigilato sull’operato delle agenzie esterne che svolgono attività di telemarketing; la colpa in vigilando rappresenta infatti un’altra estensione del principio di privacy by design, che si interseca con quello di accountability.

In conclusione, la privacy by design (PbD) rappresenta la traduzione ingegneristica e pratica dei principi del GDPR: senza di essa, il regolamento rischierebbe di rimanere un insieme di obblighi teorici, piuttosto che un modello di governance efficace e applicato.

Perchè scegliere BSD Legal?

1. La privacy e, in generale, la protezione dei dati personali è la nostra passione. Una passione così forte che, qualche anno fa, alcuni dei nostri partners hanno fondato Privacy Network, un’associazione no-profit diventata ormai un punto di riferimento in Italia e non solo per la divulgazione di questi temi.
2. L’esperienza conta in un settore così specialistico. Abbiamo ideato soluzioni di privacy-by-design per diversi sistemi come: app, sistemi IA, gestionali e tanti altri prodotti in tanti settori anche relativi alle c.d.“infrastrutture critiche”.
3. Adottiamo un’approccio tailor-made su ogni nuovo progetto e cliente. E non potrebbe essere diversamente. Di fronte ad una consulenza così specialistica e tecnica, non ci può essere un altro approccio.

Se volete approfondire la nostra metodologia, vi invitiamo a leggere la nostra pagina di approfondimento sulla privacy by design.