Privacy by Design e Privacy by Default

Privacy by Design e Privacy by Default: il trattamento dei dati personali

 

Il tema della privacy riguarda il diritto degli individui alla protezione dei propri dati personali. L'evoluzione tecnologica ha inciso ovviamente anche sulla privacy poiché è necessario prevenire i rischi e comunque garantire la protezione dei dati personali. I dati relativi alla rete internet e al numero di utenti ad essa connessi sono sufficientemente eloquenti e attestano come siano mutate in modo radicale nel corso degli anni sia le attività lavorative sia le abitudini di vita delle persone.

 

Principio di necessità nel trattamento dei dati

L'art. 3, del codice della privacy italiano, ad esempio, prevede: “I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità”.

L'attuale normativa in materia di Data Protection non prevede espressamente il concetto di privacy by design né di privacy by default. La direttiva europea però impone al titolare del trattamento l'adozione di misure tecniche od organizzative adeguate al fine di proteggere i dati personali da trattamenti illeciti.

La General Data Protection Regulation (GDPR) introduce il concetto di privacy by design, insieme a quello di privacy by default, con l'articolo 23. Secondo il testo di questo articolo è chiaro che la Commissione europea esamini i termini "by design" e "by default" come concetti diversi, anche se utilizzati congiuntamente come unica espressione. La GDPR riconosce, quindi, espressamente il concetto di privacy by design espandendo le previsioni dell'attuale normativa.

Vengono individuati 7 principi definiti fondazionali che esprimono pienamente l'intero senso di questa prospettiva, che sono i seguenti:

  • Prevenire non correggere, cioè i problemi vanno valutati nella fase di progettazione;
  • Privacy come impostazione di default;
  • Privacy incorporata nel progetto;
  • Massima funzionalità, in maniera da rispettare tutte le esigenze (rifiutando le false dicotomie quali più privacy = meno sicurezza);
  • Sicurezza durante tutto il ciclo del prodotto o servizio;
  • Trasparenza;
  • Centralità dell'utente.

Secondo quest'impostazione il sistema privacy deve essere user centric, cioè è l'utente che è al centro dell'intero sistema. Questo vuol dire che non è sufficiente una progettazione che sia conforme a norma se poi l'utente non è adeguatamente protetto.

 

Image

 

La “Privacy by Design” (PbD)

Presta particolare attenzione alla gestione dell'intero ciclo di vita dei dati personali, dalla raccolta al trattamento alla cancellazione, incentrandosi sistematicamente sulle garanzie procedurali generali in merito all'esattezza, alla riservatezza, all'integrità, alla sicurezza fisica e alla cancellazione dei dati personali.

È un ulteriore tassello nell’evoluzione dei principi relativi alla protezione dei dati personali e rappresenta il futuro della privacy. Si tratta di un innovativo approccio concettuale che va utilizzato in ogni occasione e contesto in cui sia necessario garantire la protezione dei dati personali; è il sistema attuale per affrontare la privacy mediante il quale si devono sdoganare criteri ed approcci meno recenti. In sostanza la Privacy by Design rappresenta il futuro della privacy.

In particolare il Data Controller dovrà consultare il Data Protection Officer anteriormente alla progettazione, all'approvvigionamento, allo sviluppo e alla messa a punto di sistemi per il trattamento automatizzato dei dati personali.

Per permettere un’attenta analisi di un trattamento dati, il DPO dovrà effettuare un PIA (Privacy Impact Assessment) che gli permetterà di valutare le misure e gli accorgimenti da suggerire all’azienda.

La "Privacy by Default"

Per quanto riguarda l'aspetto complementare della privacy by default, tale principio stabilisce che per impostazione predefinita le imprese dovrebbero trattare solo i dati personali nella misura necessaria per le finalità previste e per il periodo strettamente necessario a tali fini.

 



POTREBBE INTERESSARTI


Cookie Privacy

Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito.