Privacy by default e privacy by design non sono due alternative tra cui scegliere ma due principi da rispettare contemporaneamente per poter definire una gestione dei dati personali che rispetti i requisiti del GDPR. Che cosa significano? Come applicarli? Facciamo chiarezza.

La definizione di privacy by default

Si parla di privacy by default in relazione alle scelte che il titolare del trattamento deve effettuare in relazione alla tipologia di dati raccolti, l’estensione del loro trattamento, la durata della loro conservazione e la loro accessibilità all’interno dell’organizzazione, partendo dal presupposto che tutti questi aspetti devono essere definiti in modo tale da limitare al minimo indispensabile il trattamento (minimizzazione).

Si parla di privacy by default in relazione alle scelte che il titolare del trattamento deve effettuare in relazione alla tipologia di dati raccolti, l'estensione del loro trattamento, la durata della loro conservazione e la loro accessibilità all'interno dell'organizzazione

Considerata la variabilità delle attività che ricadono nel campo di applicazione del GDPR, la norma non può definire a priori dei limiti, ma richiede a ogni titolare di valutarli e di impostarli/predefinirli rispettando il principio di minimizzazione e tenendo conto, in relazione alla tipologia di dati trattati, che il trattamento deve sempre avere una base giuridica.

La definizione di privacy by design

Si parla di privacy by design in relazione alla definizione delle misure tecniche e organizzative efficaci nel proteggere i dati e tutelare i diritti degli interessati, quindi dei soggetti i cui dati sono oggetto del trattamento. Una misura tecnica può essere la scelta di una tecnologia di trattamento e un software di protezione, mentre una misura organizzativa può essere la formazione degli addetti al trattamento dei dati.

Si parla di privacy by design in relazione alla definizione delle misure tecniche e organizzative efficaci nel proteggere i dati e tutelare i diritti degli interessati.

Il GDPR non fornisce indicazioni specifiche e di dettaglio su quali siano le misure da attuare, ma richiede che siano efficaci e che sia l’organizzazione a doverne valutare l’efficacia in funzione della tipologia dei trattamenti che realizza e, quindi, dei rischi che i diritti degli interessati siano violati.

La differenza

Implementare la sicurezza dei dati secondo il principio della privacy by default significa definire il perimetro dei dati e dei trattamenti, mentre implementare la sicurezza dei dati secondo il principio della privacy by design significa definire procedure e adottare strumenti grazie ai quali sia possibile dimostrare l’effettiva protezione dei diritti degli interessati al trattamento, invece di limitarsi a documentare la conformità al GDPR.

Implementare la sicurezza dei dati secondo il principio della privacy by design significa definire procedure e adottare strumenti grazie ai quali sia possibile dimostrare l'effettiva protezione dei diritti degli interessati al trattamento.

In pratica: esempi di applicazione

I due requisiti si applicano a tutte le organizzazioni, indipendentemente dalle loro dimensioni. La complessità nell’attuazione delle misure e delle salvaguardie necessarie per rispettare i due principi dipende dalle caratteristiche del trattamento dati posto in essere da ciascuna organizzazione.

Ecco però due coppie di esempi per capire dove intervengono i due principi.

Applicazione della privacy by default

  1. Se il titolare del trattamento decide di utilizzare un software o un applicativo disponibile sul mercato per raccogliere dati e trattarli, dovrà chiedere al fornitore di disabilitare le tipologie di trattamento e i campi obbligatori di inserimento dati che non siano necessari o rispetto ai quali il trattamento da parte del titolare non abbia fondamento giuridico.
  2. L’accesso ai dati raccolti da un’organizzazione deve essere differenziato in funzione del ruolo e delle tipologie di trattamento per le quali ogni addetto è autorizzato e non deve essere indiscriminato.
La privacy by default prevede che l'accesso ai dati raccolti da un'organizzazione deve essere differenziato in funzione del ruolo e delle tipologie di trattamento per le quali ogni addetto è autorizzato.

Applicazione della privacy by design

  1. Considerato che ogni organizzazione dovrà definire un proprio sistema interno di gestione del trattamento dati, formare il personale coinvolto nel trattamento rispetto a ciò che può o non può fare e rispetto alle procedure adottate dall’organizzazione risulta il primo passo per garantire
  2. Dato che l’organizzazione deve essere in grado di dimostrare l’efficacia delle proprie misure tecniche e organizzative, prevedere dei controlli periodici sulla loro corretta applicazione rappresenta uno strumento che l’organizzazione può scegliere di applicare a garanzia della loro effettività.

La regola generale della gestione della privacy secondo il GDPR è quindi quella dell’assunzione di responsabilità da parte del titolare del trattamento: solo se decide di entrare nel merito dei trattamenti che realizza, eventualmente supportato da figure consulenziali o tecniche tecniche (come il DPO), può riuscire a rispettare la normativa privacy.