Il tema della privacy riguarda il diritto degli individui alla protezione dei propri dati personali. L'evoluzione tecnologica ha inciso ovviamente anche sulla privacy poiché è necessario prevenire i rischi e comunque garantire la protezione dei dati personali. I dati relativi alla rete internet e al numero di utenti ad essa connessi sono sufficientemente eloquenti e attestano come siano mutate in modo radicale nel corso degli anni sia le attività lavorative sia le abitudini di vita delle persone.
Principio di necessità nel trattamento dei dati
L'art. 3, del codice della privacy italiano, ad esempio, prevede: “I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità”.
L'attuale normativa in materia di Data Protection non prevede espressamente il concetto di privacy by design né di privacy by default. La direttiva europea però impone al titolare del trattamento l'adozione di misure tecniche od organizzative adeguate al fine di proteggere i dati personali da trattamenti illeciti.
La General Data Protection Regulation (GDPR) introduce il concetto di privacy by design, insieme a quello di privacy by default, con l'articolo 23. Secondo il testo di questo articolo è chiaro che la Commissione europea esamini i termini "by design" e "by default" come concetti diversi, anche se utilizzati congiuntamente come unica espressione. La GDPR riconosce, quindi, espressamente il concetto di privacy by design espandendo le previsioni dell'attuale normativa.
Vengono individuati 7 principi definiti fondazionali che esprimono pienamente l'intero senso di questa prospettiva, che sono i seguenti:
- Prevenire non correggere, cioè i problemi vanno valutati nella fase di progettazione;
- Privacy come impostazione di default;
- Privacy incorporata nel progetto;
- Massima funzionalità, in maniera da rispettare tutte le esigenze (rifiutando le false dicotomie quali più privacy = meno sicurezza);
- Sicurezza durante tutto il ciclo del prodotto o servizio;
- Trasparenza;
- Centralità dell'utente.
Secondo quest'impostazione il sistema privacy deve essere user centric, cioè è l'utente che è al centro dell'intero sistema. Questo vuol dire che non è sufficiente una progettazione che sia conforme a norma se poi l'utente non è adeguatamente protetto.
La “Privacy by Design” (PbD)
Presta particolare attenzione alla gestione dell'intero ciclo di vita dei dati personali, dalla raccolta al trattamento alla cancellazione, incentrandosi sistematicamente sulle garanzie procedurali generali in merito all'esattezza, alla riservatezza, all'integrità, alla sicurezza fisica e alla cancellazione dei dati personali.
È un ulteriore tassello nell’evoluzione dei principi relativi alla protezione dei dati personali e rappresenta il futuro della privacy. Si tratta di un innovativo approccio concettuale che va utilizzato in ogni occasione e contesto in cui sia necessario garantire la protezione dei dati personali; è il sistema attuale per affrontare la privacy mediante il quale si devono sdoganare criteri ed approcci meno recenti. In sostanza la Privacy by Design rappresenta il futuro della privacy.
In particolare il Data Controller dovrà consultare il Data Protection Officer anteriormente alla progettazione, all'approvvigionamento, allo sviluppo e alla messa a punto di sistemi per il trattamento automatizzato dei dati personali.
Per permettere un’attenta analisi di un trattamento dati, il DPO dovrà effettuare un PIA (Privacy Impact Assessment) che gli permetterà di valutare le misure e gli accorgimenti da suggerire all’azienda.
La "Privacy by Default"
Per quanto riguarda l'aspetto complementare della privacy by default, tale principio stabilisce che per impostazione predefinita le imprese dovrebbero trattare solo i dati personali nella misura necessaria per le finalità previste e per il periodo strettamente necessario a tali fini.