Privacy by design e by default: princìpi di lunga data su cui riflettere ancora

L’orientamento al rischio che pervade tutto il Regolamento europeo sulla protezione dei dati 2016/679 (di seguito: Regolamento), trova la sua espressione nell’art. 25 che impone al Titolare, prima ancora di porre in essere un trattamento di dati personali, di fare una valutazione dei rischi e di implementare misure tecniche ed organizzative adeguate, idonee da un punto di vista sostanziale e non solo formale, ad attuare i principi di protezione dei dati personali in maniera efficace ed effettiva.

Nella scelta di tali misure deve tenere conto:

• dello stato dell’arte (i progressi tecnologici disponibili sul mercato); 
• dei costi di attuazione (si richiede una proporzionalità al rischio); 
• della natura, l’ambito di applicazione, il contesto e le finalità del trattamento; 
• dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento; 
• del tempo. 

Il concetto di privacy by design venne adottato nel 2010 con una risoluzione nel corso della 32esima Conferenza mondiale dei Garanti Privacy (Gerusalemme, 27-29 ottobre 2010) proposta dalla Commissioner dell’Ontario (Canada) Ann Cavoukian, supportata dalle Autorità Privacy del Canada, della Germania, della Repubblica Ceca, dell’Estonia e della Nuova Zelanda. La risoluzione spinge alla ricerca di una soluzione che deve tenere il passo con l’evoluzione dei tempi e delle tecnologie, poiché diversamente si corre il rischio di restare indietro, rimanendo imbrigliati negli attuali assetti sulla privacy che risulteranno certamente obsoleti.

Tra i punti di maggior rilievo della risoluzione:

• occorre prevenire non correggere (i problemi vanno valutati nella fase di progettazione, e l’applicativo deve prevenire il verificarsi dei rischi); 
• la privacy va introdotta come impostazione di default (vanno raccolti solo i dati necessari e sufficienti per le finalità previste e per il tempo necessario); 
• la privacy deve essere incorporata nel progetto (vanno utilizzate tecniche di pseudonimizzazione o minimizzazione dei dati); 
• occorre assicurare la massima funzionalità, in maniera da rispettare tutte le esigenze;
• deve essere garantita la sicurezza durante tutto il ciclo di vita del prodotto o servizio; 
• deve essere garantita visibilità e trasparenza in tutte le fasi del trattamento in modo che sia verificabile la tutela dei dati;
• bisogna assicurare la centralità del soggetto interessato, quindi rispetto dei diritti, tempestive e chiare risposte alle sue richieste di accesso.

Cosa significa, in particolare per la nostra Pubblica amministrazione, raccogliere la sfida generale lanciata dal Regolamento? Come portare, dentro il nostro modo di operare, i principi della privacy by design e by default? È il focus scelto per un incontro organizzato per il 24 novembre 2023d al Network dei responsabili protezione dati delle Autorità indipendenti, che coinvolge molti dei protagonisti di questo cambiamento: dal Garante per la protezione dei dati personali, all’Autorità nazionale anticorruzione, all’Agenzia per la cybersicurezza nazionale, all’Istat. Vi racconteremo poi cosa è emerso dall’incontro, spunti e riflessioni da mettere in evidenza nei nostri Appunti di Privacy.

Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA