La data protection by design è uno dei criteri fondamentali indicati dall’ormai noto GDPR che un titolare di un trattamento di dati personali deve rispettare, sia al momento di determinare i mezzi di quel trattamento sia all’atto del trattamento stesso, nell’adempimento del suo dovere di responsabilizzazione (“accountability”). Anche la tecnologia deve essere progettata per operare nel rispetto della privacy by design, e, dunque, nel rispetto dei diritti fondamentali delle persone fisiche i cui dati vengono trattati.

La c.d. privacy by design, ovvero, protezione dei dati fin dalla progettazione, è uno dei capisaldi del GDPR e fa riferimento all’approccio da utilizzare, nel momento in cui viene pensato un trattamento di dati personali e prima ancora che venga iniziato, ovvero alle modalità tecniche ed organizzative da adottare nell’organizzazione di quel trattamento di “dati personali”  - che, si ricorda incidentalmente, sono definiti ex art.4, n.1 come “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)”.

Per quanto c interessa in questa sede, se ne occupa, innanzitutto, l’art.25, comma 1 del Regolamento europeo 679/2016, che prevede che “………… sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.”.

Questa previsione va letta in stretta connessione con il considerando 78, che già prevede l’obbligo dell’adozione di “misure tecniche e organizzative adeguate per garantire il rispetto delle disposizioni del presente regolamento” al fine di tutelare i diritti e le libertà delle persone fisiche relativamente al trattamento dei dati personali. Per fare ciò ed essere conforme al Regolamento, “il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati per impostazione predefinita.”.

Tali norme si rivolgono direttamente ai titolari di un trattamento di dati personali, ossia, secondo la definizione dell’art.4 GDPR, “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”. Il titolare di un trattamento deve, dunque, fare tutto il possibile per proteggere le persone fisiche (la cui tutela è il cuore del GDPR), e ciò sin dal momento in cui progetta e predispone la sua organizzazione per un trattamento di dati personali. Ciò significa che ogni volta che un soggetto introduce un processo in cui vi è un trattamento di dati personali, deve organizzare quel trattamento nel rispetto dei principi del GDPR.  Quindi, ad esempio, gli apparecchi, i sistemi informatici, i sistemi di comunicazione, le applicazioni che intende adottare per un certo trattamento devono essere conformi al GDPR e devono essere in grado di garantire il rispetto dei suoi principi e dei diritti previsti a favore degli “interessati”. Ma così anche devono essere le procedure operative, le policy, i protocolli. La progettazione di un trattamento, insomma, deve avvenire in modo tale che si sia costretti a rispettare i principi fondamentali della protezione dei dati (che, quindi, bisogna conoscere).

Il legislatore europeo, nel dettare questo principio - che è anche un obbligo da rispettare - non disciplina, però, in maniera rigida condotte da attuare, bensì rimette all’accountability del titolare del trattamento l’individuazione delle misure tecniche ed organizzative “adeguate” per attuare la data protection by design, indicandogli alcuni parametri di riferimento per effettuare le sue scelte e per valutarne l’adeguatezza. Sempre l’art.25, comma 1, infatti, prevede che il titolare debba tenere “…conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento”.

L’art.25 e il considerando 78 suggeriscono, anche, alcune misure che potrebbero essere adottate dai titolari: - ridurre al minimo il trattamento dei dati personali; - pseudonimizzazione dei dati personali il più presto possibile; - offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali; - consentire all'interessato di controllare il trattamento dei dati; - consentire al titolare del trattamento di creare e migliorare caratteristiche di sicurezza. Gli esperti indicano anche, ad esempio, quali possibili ulteriori misure, l’occultamento, la separazione o l’aggregazione dei dati. Il titolare del trattamento deve, comunque, in generale integrare nel trattamento le necessarie garanzie per soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati.

Il Garante italiano per la protezione dei dati, anche nella sua pagina ufficiale, ha ricordato che uno strumento che consente di “realizzare concretamente” la privacy by design è lo svolgimento di una valutazione di impatto (DPIA),  ossia quella procedura - in taluni casi, invero, obbligatoria - prevista dall’art.35 GDPR “che mira a descrivere un trattamento di dati per valutarne la necessità e la proporzionalità nonché i relativi rischi, allo scopo di approntare misure idonee ad affrontarli”.

Il considerando 78, poi, ci dice anche qualcosa di più. Prosegue, infatti, prevedendo che “In fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni, i produttori dei prodotti, dei servizi e delle applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorché sviluppano e progettano tali prodotti, servizi e applicazioni e, tenuto debito conto dello stato dell'arte, a far sì che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati.”. Qui la previsione è rivolta ai produttori di prodotti, servizi e applicazioni. Ma non può che leggersi in stretta correlazione con l’obbligo descritto sopra di rispettare la privacy by design posto a capo dei titolari dei trattamenti, che conseguentemente saranno portati a scegliere anche prodotti, servizi, applicazioni che siano rispettosi dei principi fondamentali della protezione dati (per poter essere, anche sotto questo profilo, compliance alla normativa).

L’ultimo comma dell’art.25 prevede la possibilità di usare come “elemento per dimostrare la conformità ai requisiti” della privacy by design (oltrechè della parallela privacy by default) il ricorso a “un meccanismo di certificazione approvato ai sensi dell’art.42”. Vedremo se la definizione, speriamo in un prossimo futuro, di tali meccanismi riuscirà a costituire un più sicuro punto di riferimento per i titolari dei trattamenti, ma anche per i loro consulenti, fermo restando che, comunque, la certificazione potrà essere solo un elemento e non potrà ridurre la responsabilità del titolare del trattamento rispetto alla conformità al Regolamento.

Si badi bene, da ultimo, che l’attuazione dei principi in materia di protezione dei dati personali è un processo dinamico, che deve essere oggetto di costante verifica, adeguamento, implementazione, in linea con il progresso tecnologico e con modifiche nelle attività che volessero attuarsi nel corso del tempo. Perché, come detto da un esperto in una recente pubblicazione, l’obbligo della Privacy by design “rimette l’uomo al centro del mondo” (cit. R. Panetta) e lì l’uomo deve restare nel tempo.

About the Author

Veronica Morlacchi

Laureata a pieni voti in giurisprudenza, è Avvocato Cassazionista, iscritta all’Albo degli Avvocati di Busto Arsizio dal 2004 e all’Albo degli Avvocati abilitati al Patrocinio davanti alla Corte di Cassazione e alle altre Giurisdizioni superiori. Si occupa principalmente, nell’interesse di Privati, Professionisti, Aziende ed Enti pubblici, di diritto civile, in particolare responsabilità civile e risarcimento danni, diritto delle nuove tecnologie e privacy, contratti, persone e famiglia. Ha conseguito un master in Responsabilità civile e un corso di perfezionamento in Tecniche di redazione dei contratti e, da ultimo, si è perfezionata in Data Protection e Data Governance all'Università degli Studi di Milano e in Strategie avanzate di applicazione del GDPR. Pubblica periodici aggiornamenti e articoli nelle materie di cui si occupa sul suo sito www.studioavvmorlacchi.it e da giugno 2016 collabora con Guru Advisor

banner eng

fb icon evo twitter icon evo

Word of the Day

The term Edge Computing refers, when used in the cloud-based infrastructure sphere, the set of devices and technologies that allows...

>

The acronym SoC (System on Chip) describes particular integrated circuit that contain a whole system inside a single physical chip:...

>

The acronym PtP (Point-to-Point) indicates point-to-point radio links realized with wireless technologies. Differently, PtMP links connects a single source to...

>

Hold Down Timer is a technique used by network routers. When a node receives notification that another router is offline...

>

In the field of Information Technology, the term piggybacking refers to situations where an unauthorized third party gains access to...

>
Read also the others...

Download of the Day

Netcat

Netcat is a command line tool that can be used in both Linux and Windows environments, capable of...

>

Fiddler

Fiddler is a proxy server that can run locally to allow application debugging and control of data in...

>

Adapter Watch

Adapter Watch is a tool that shows a complete and detailed report about network cards. Download it here.

>

DNS DataView

DNS DataView is a graphical-interface software to perform DNS lookup queries from your PC using system-defined DNS, or...

>

SolarWinds Traceroute NG

SolarWinds Traceroute NG is a command line tool to perform advanced traceroute in Windows environment, compared to the...

>
All Download...

Issues Archive

  •  GURU advisor: issue 21 - May 2019

    GURU advisor: issue 21 - May 2019

  • GURU advisor: issue 20 - December 2018

    GURU advisor: issue 20 - December 2018

  • GURU advisor: issue 19 - July 2018

    GURU advisor: issue 19 - July 2018

  • GURU advisor: issue 18 - April 2018

    GURU advisor: issue 18 - April 2018

  • GURU advisor: issue 17 - January 2018

    GURU advisor: issue 17 - January 2018

  • GURU advisor: issue 16 - october 2017

    GURU advisor: issue 16 - october 2017

  • GURU advisor: issue 15 - July 2017

    GURU advisor: issue 15 - July 2017

  • GURU advisor: issue 14 - May 2017

    GURU advisor: issue 14 - May 2017

  • 1
  • 2
  • 3
  • BYOD: your devices for your firm

    The quick evolution of informatics and technologies, together with the crisis that mined financial mines, has brought to a tendency inversion: users that prefer to work with their own devices as they’re often more advanced and modern than those the companies would provide. Read More
  • A switch for datacenters: Quanta LB4M

    You don’t always have to invest thousands of euros to build an enterprise-level networking: here’s our test of the Quanta LB4M switch Read More
  • Mobile World Congress in Barcelona

    GURU advisor will be at the Mobile World Congress in Barcelona from February 22nd to 25th 2016!

    MWC is one of the biggest conventions about the worldwide mobile market, we'll be present for the whole event and we'll keep you posted with news and previews from the congress.

    Read More
  • 1