La data protection by design è uno dei criteri fondamentali indicati dall’ormai noto GDPR che un titolare di un trattamento di dati personali deve rispettare, sia al momento di determinare i mezzi di quel trattamento sia all’atto del trattamento stesso, nell’adempimento del suo dovere di responsabilizzazione (“accountability”). Anche la tecnologia deve essere progettata per operare nel rispetto della privacy by design, e, dunque, nel rispetto dei diritti fondamentali delle persone fisiche i cui dati vengono trattati.

La c.d. privacy by design, ovvero, protezione dei dati fin dalla progettazione, è uno dei capisaldi del GDPR e fa riferimento all’approccio da utilizzare, nel momento in cui viene pensato un trattamento di dati personali e prima ancora che venga iniziato, ovvero alle modalità tecniche ed organizzative da adottare nell’organizzazione di quel trattamento di “dati personali”  - che, si ricorda incidentalmente, sono definiti ex art.4, n.1 come “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)”.

Per quanto c interessa in questa sede, se ne occupa, innanzitutto, l’art.25, comma 1 del Regolamento europeo 679/2016, che prevede che “………… sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.”.

Questa previsione va letta in stretta connessione con il considerando 78, che già prevede l’obbligo dell’adozione di “misure tecniche e organizzative adeguate per garantire il rispetto delle disposizioni del presente regolamento” al fine di tutelare i diritti e le libertà delle persone fisiche relativamente al trattamento dei dati personali. Per fare ciò ed essere conforme al Regolamento, “il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati per impostazione predefinita.”.

Tali norme si rivolgono direttamente ai titolari di un trattamento di dati personali, ossia, secondo la definizione dell’art.4 GDPR, “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”. Il titolare di un trattamento deve, dunque, fare tutto il possibile per proteggere le persone fisiche (la cui tutela è il cuore del GDPR), e ciò sin dal momento in cui progetta e predispone la sua organizzazione per un trattamento di dati personali. Ciò significa che ogni volta che un soggetto introduce un processo in cui vi è un trattamento di dati personali, deve organizzare quel trattamento nel rispetto dei principi del GDPR.  Quindi, ad esempio, gli apparecchi, i sistemi informatici, i sistemi di comunicazione, le applicazioni che intende adottare per un certo trattamento devono essere conformi al GDPR e devono essere in grado di garantire il rispetto dei suoi principi e dei diritti previsti a favore degli “interessati”. Ma così anche devono essere le procedure operative, le policy, i protocolli. La progettazione di un trattamento, insomma, deve avvenire in modo tale che si sia costretti a rispettare i principi fondamentali della protezione dei dati (che, quindi, bisogna conoscere).

Il legislatore europeo, nel dettare questo principio - che è anche un obbligo da rispettare - non disciplina, però, in maniera rigida condotte da attuare, bensì rimette all’accountability del titolare del trattamento l’individuazione delle misure tecniche ed organizzative “adeguate” per attuare la data protection by design, indicandogli alcuni parametri di riferimento per effettuare le sue scelte e per valutarne l’adeguatezza. Sempre l’art.25, comma 1, infatti, prevede che il titolare debba tenere “…conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento”.

L’art.25 e il considerando 78 suggeriscono, anche, alcune misure che potrebbero essere adottate dai titolari: - ridurre al minimo il trattamento dei dati personali; - pseudonimizzazione dei dati personali il più presto possibile; - offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali; - consentire all'interessato di controllare il trattamento dei dati; - consentire al titolare del trattamento di creare e migliorare caratteristiche di sicurezza. Gli esperti indicano anche, ad esempio, quali possibili ulteriori misure, l’occultamento, la separazione o l’aggregazione dei dati. Il titolare del trattamento deve, comunque, in generale integrare nel trattamento le necessarie garanzie per soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati.

Il Garante italiano per la protezione dei dati, anche nella sua pagina ufficiale, ha ricordato che uno strumento che consente di “realizzare concretamente” la privacy by design è lo svolgimento di una valutazione di impatto (DPIA),  ossia quella procedura - in taluni casi, invero, obbligatoria - prevista dall’art.35 GDPR “che mira a descrivere un trattamento di dati per valutarne la necessità e la proporzionalità nonché i relativi rischi, allo scopo di approntare misure idonee ad affrontarli”.

Il considerando 78, poi, ci dice anche qualcosa di più. Prosegue, infatti, prevedendo che “In fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni, i produttori dei prodotti, dei servizi e delle applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorché sviluppano e progettano tali prodotti, servizi e applicazioni e, tenuto debito conto dello stato dell'arte, a far sì che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati.”. Qui la previsione è rivolta ai produttori di prodotti, servizi e applicazioni. Ma non può che leggersi in stretta correlazione con l’obbligo descritto sopra di rispettare la privacy by design posto a capo dei titolari dei trattamenti, che conseguentemente saranno portati a scegliere anche prodotti, servizi, applicazioni che siano rispettosi dei principi fondamentali della protezione dati (per poter essere, anche sotto questo profilo, compliance alla normativa).

L’ultimo comma dell’art.25 prevede la possibilità di usare come “elemento per dimostrare la conformità ai requisiti” della privacy by design (oltrechè della parallela privacy by default) il ricorso a “un meccanismo di certificazione approvato ai sensi dell’art.42”. Vedremo se la definizione, speriamo in un prossimo futuro, di tali meccanismi riuscirà a costituire un più sicuro punto di riferimento per i titolari dei trattamenti, ma anche per i loro consulenti, fermo restando che, comunque, la certificazione potrà essere solo un elemento e non potrà ridurre la responsabilità del titolare del trattamento rispetto alla conformità al Regolamento.

Si badi bene, da ultimo, che l’attuazione dei principi in materia di protezione dei dati personali è un processo dinamico, che deve essere oggetto di costante verifica, adeguamento, implementazione, in linea con il progresso tecnologico e con modifiche nelle attività che volessero attuarsi nel corso del tempo. Perché, come detto da un esperto in una recente pubblicazione, l’obbligo della Privacy by design “rimette l’uomo al centro del mondo” (cit. R. Panetta) e lì l’uomo deve restare nel tempo.

L'autore

Veronica Morlacchi

Laureata a pieni voti in giurisprudenza, è Avvocato Cassazionista, iscritta all’Albo degli Avvocati di Busto Arsizio dal 2004 e all’Albo degli Avvocati abilitati al Patrocinio davanti alla Corte di Cassazione e alle altre Giurisdizioni superiori. Si occupa principalmente, nell’interesse di Privati, Professionisti, Aziende ed Enti pubblici, di diritto civile, in particolare responsabilità civile e risarcimento danni, diritto delle nuove tecnologie e privacy, contratti, persone e famiglia. Ha conseguito un master in Responsabilità civile e un corso di perfezionamento in Tecniche di redazione dei contratti e, da ultimo, si è perfezionata in Data Protection e Data Governance all'Università degli Studi di Milano e in Strategie avanzate di applicazione del GDPR. Pubblica periodici aggiornamenti e articoli nelle materie di cui si occupa sul suo sito www.studioavvmorlacchi.it e da giugno 2016 collabora con Guru Advisor

banner5

fb icon evo twitter icon evo

Parola del giorno

L'acronimo SoC  (System on a Chip) nasce per descrivere quei circuiti integrati che, all'interno di un singolo chip fisico, contengono un...

>

YAML è un formato utilizzato per serializzare (ovvero salvare oggetti su supporti di memoria ad accesso seriale) dati, in modo...

>

Il termine Edge Computing descrive, all'interno di infrastrutture cloud-based, l'insieme di dispositivi e di tecnologie che permettono l'elaborazione dei dati ai...

>

L'acronimo FPGA  (Field Programmable Gate Array), descrive quei dispositivi hardware formati da un circuito integrato e con funzionalità programmabili tramite...

>

Il termine Agentless (computing) descrive operazioni dove non è necessaria la presenza e l'esecuzione di un servizio software (demone o...

>
Leggi anche le altre...

Download del giorno

Fiddler

Fiddler è un server proxy che può girare in locale per consentire il debug delle applicazioni e il...

>

Adapter Watch

Adapter Watch è uno strumento che permette di visualizzare un riepilogo completo e dettagliato delle informazioni riguardanti una determinata...

>

DNS DataView

DNS Lookup  è un tool a interfaccia grafica per effettuare il lookup DNS dal proprio PC, sfruttando i...

>

SolarWinds Traceroute NG

SolarWinds Traceroute NG è un tool a linea di comando per effettuare traceroute avanzati in ambiente Windows...

>

Network Inventory Advisor

Network Inventory Advisor  è uno strumento che permette di scansionare la rete e acquisire informazioni riguardanti tutti i...

>
Tutti i Download del giorno...

Archivio numeri

  • GURU advisor: numero 21 - maggio 2019

    GURU advisor: numero 21 - maggio 2019

  • GURU advisor: numero 20 - dicembre 2018

    GURU advisor: numero 20 - dicembre 2018

  • GURU advisor: numero 19 - luglio 2018

    GURU advisor: numero 19 - luglio 2018

  • GURU advisor: numero 18 - aprile 2018

    GURU advisor: numero 18 - aprile 2018

  • GURU advisor: numero 17 - gennaio 2018

    GURU advisor: numero 17 - gennaio 2018

  • GURU advisor: numero 16 - ottobre 2017

    GURU advisor: numero 16 - ottobre 2017

  • GURU advisor: numero 15 - luglio 2017

    GURU advisor: numero 15 - luglio 2017

  • GURU advisor: numero 14 - maggio 2017

    GURU advisor: numero 14 - maggio 2017

  • 1
  • 2
  • 3
  • Teslacrypt: rilasciata la chiave

    Gli sviluppatori del temuto ransomware TeslaCrypt hanno deciso di terminare il progetto di diffusione e sviluppo e consegnare al pubblico la chiave universale per decifrare i file. Read More
  • Proxmox 4.1 sfida vSphere

    Proxmox VE (da qui in avanti semplicemente Proxmox) è basato sul sistema operativo Debian e porta con sé vantaggi e svantaggi di questa nota distribuzione Linux: un sistema operativo stabile, sicuro, diffuso e ben collaudato. Read More
  • Malware: risvolti legali

    tutti i virus e in particolare i più recenti Ransomware, che rubano i vostri dati e vi chiedono un riscatto, violano la legge. Vediamo insieme come comportarsi, per capire anche se e quando bisogna sporgere denuncia. Read More
  • 1