➡️Privacy by Design e by Default nel contesto normativo di riferimento (GDPR) - Approfondimento

Definizione di Privacy by Design e by Default

Il principio della privacy by design richiede che la tutela dei diritti e delle libertà degli interessati con riguardo al trattamento dei dati personali comporti l’attuazione di adeguate misure tecniche e organizzative al momento sia della progettazione che dell’esecuzione del trattamento stesso.

Quadro normativo di riferimento: il GDPR

Il regolamento UE n. 2016/679 (General Data Protection Regulation - GDPR), adottato il 27 aprile 2016, detta una disciplina unitaria e omogenea in materia di protezione dei dati personali all'interno dell'Unione europea.

GDPR chiarisce come i dati personali debbano essere trattati dai gestori di servizi online e definisce le modalità di raccolta, utilizzo, protezione e condivisione dei dati. Il Regolamento Generale per la protezione dei dati personali prevede che il cittadino, prima di utilizzare un servizio, riceva obbligatoriamente una “informativa”, ovvero una comunicazione, su finalità e modalità di trattamento dei suoi dati.

Il suo obiettivo è rafforzare la protezione dei dati delle persone che si iscrivono e accedono ad esempio a un servizio online e le cui informazioni personali vengono raccolte dai gestori del servizio.

La tutela della privacy, e quindi il pieno rispetto del GDPR, è uno degli elementi essenziali di cui una pubblica amministrazione deve tener conto nel momento in cui progetta e gestisce un servizio digitale.

A meno che non vengano trattati solo dati anonimi, i servizi digitali comportano il trattamento di dati personali. Pertanto, le amministrazioni pubbliche che intendono offrire servizi online, sono tenute al rispetto delle specifiche regole in materia di protezione dei dati personali.

L'obiettivo principale del regolamento è rafforzare la protezione dei dati personali dei cittadini dell'Unione europea e di ogni soggetto residente nell'UE, sia all'interno che fuori dai confini dell'Unione. In particolare, il testo normativo chiarisce cosa si intende per dati personali, detta la disciplina su come questi ultimi debbano essere trattati (incluse le modalità di raccolta, utilizzo, protezione e condivisione), affronta il tema dell'esportazione di dati al di fuori dell'Unione europea e obbliga tutti i titolari del trattamento (anche con sede legale extra-UE) a osservare agli obblighi previsti, restituendo così ai cittadini maggiore certezza circa controllo dei propri dati personali.

Per ogni servizio digitale che una pubblica amministrazione intende attivare, è necessario quindi attuare in modo efficace i principi applicabili al trattamento dei dati personali contenuti all’art. 5: liceità, correttezza e trasparenza; limitazione delle finalità; minimizzazione dei dati; esattezza; limitazione della conservazione; integrità e riservatezza, tenendo anche conto del principio generale di “accountability”.

Privacy by Design e by Default

Il concetto di Privacy by Design e by Default viene esplicitato nell’art. 25 del GDPR. Nel comma 1 si legge: “[...] sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.”

Nel comma 2 aggiunge che “[...] siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica.”

Il servizio digitale deve quindi garantire la protezione dei dati degli utenti fin dalla progettazione e ciò deve avvenire di default, ossia in quanto impostazione predefinita del servizio stesso, che deve tutelare chi lo utilizza.

servizio stesso, che deve tutelare chi lo utilizza. Bisogna per questo garantire fin dalla progettazione (design) un adeguato trattamento dei dati personali di chi interagisce con il servizio digitale, attraverso iniziative quali:

• pseudonimizzazione;

• minimizzazione della raccolta;

• trattamento dei dati in modo sicuro e congruo.

Inoltre queste misure tecniche e organizzative devono essere inserite nel servizio per impostazione predefinita (default); ciò vale per la quantità dei dati raccolti, l’estensione del trattamento, il periodo di conservazione e l’accessibilità.

Il principio riguarda l’incorporazione della privacy a partire dalla progettazione di un processo aziendale, nel nostro caso di un servizio digitale, e nell’intera filiera del servizio con le relative applicazioni informatiche di supporto. Ciò implica la messa in atto di meccanismi che garantiscono la protezione e il trattamento esclusivo di dati personali necessari per quello specifico servizio fin dall’inizio in ogni processo di progettazione.

Lo stesso titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, di default (cioè per impostazione predefinita, ndr), solo i dati personali necessari per ogni specifica finalità del trattamento; ciò vale per la quantità dei dati raccolti, l’estensione del trattamento, il periodo di conservazione e l’accessibilità. In particolare dette misure garantiscono che, di default, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica che autorizza il trattamento dei dati.

Cosa sono i dati personali?

Sono dati personali le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc.

Particolarmente importanti sono:

• i dati che permettono l'identificazione diretta - come i dati anagrafici, email o le immagini - e i dati che permettono l'identificazione indiretta, come un numero di identificazione (ad esempio, il codice fiscale, il numero di targa o l’indirizzo IP);

• i dati rientranti in particolari categorie: si tratta dei dati "sensibili", cioè quelli che rivelano l'origine etnica, le convinzioni religiose,le opinioni politiche, l'appartenenza sindacale, relativi alla salute o alla vita sessuale;

• i dati relativi a condanne penali e reati: si tratta dei dati "giudiziari", cioè quelli che possono rivelare l'esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale o la qualità di imputato o di indagato o anche i dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza.

Non sono dati personali invece i numeri di registrazione della società, indirizzi di posta elettronica generici come info@azienda.com e dati resi anonimi.

Alcune definizioni importanti

Minimizzazione dei dati

L'art. 5 del GDPR prevede che i dati debbano essere "adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati". Quindi non devono essere trattati (cioé nemmeno raccolti) dati non necessari rispetto alla finalità per la quale vengono raccolti e trattati. Nel caso in cui sia possibile utilizzare dati anonimizzati o pseudonimizzati per il raggiungimento dell'obiettivo, si dovrebbe evitare del tutto l'utilizzo dei dati personali. La minimizzazione dei dati deve essere prevista fin dalla progettazione del trattamento (privacy by design e by default).

Esattezza dei dati

I dati trattati non solo devono essere esatti, ma anche aggiornati, ed eventualmente corretti, a richiesta dell'interessato, se sbagliati. Ovviamente l'obbligo di trattare dati aggiornati non vuol dire che il titolare del trattamento ha il diritto di accedere a nuove informazioni per poter aggiornare dati precedentemente raccolti. Così, ad esempio, se i dati sono utilizzati a fini di fatturazione, l'azienda non ha diritto di accedere all'anagrafe per aggiornare gli indirizzi di vecchi clienti allo scopo di inviare loro comunicazioni commerciali. In questo caso occorre un nuovo consenso per le comunicazioni commerciali e quindi si tratterà di una nuova raccolta.

Limitazione della conservazione

I dati devono essere conservati in modo da consentire l'identificazione degli interessati per un tempo non superiore a quello necessario al conseguimento della finalità del trattamento. Una volta soddisfatta tale finalità, i dati dovrebbero essere cancellati. In alternativa possono essere anonimizzati, nel quale caso, non essendo più utili a fini dell'identificazione degli interessati, la normativa in materia di protezione dei dati personali non si applica.

I soggetti previsti dal GDPR

L’interessato

L’interessato è la persona fisica alla quale si riferiscono i dati personali. Quindi, se un trattamento riguarda, ad esempio, l'indirizzo, il codice fiscale, ecc. di Mario Rossi, questa persona è l"interessato" (articolo 4, paragrafo 1, punto 1), del Regolamento UE 2016/679).

Il titolare del trattamento

Il titolare dell’ente o dell'azienda che ha la proprietà del servizio. Non è una figura tecnica né esperta di strumenti informatici,ha però la responsabilità giuridica e delega con appositi contratti una figura - il responsabile del trattamento - che gestisce e/o fornisce il servizio: ad esempio un ente pubblico che affida a un fornitore il proprio sito internet.

Il responsabile del trattamento

La persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che tratta dati personali per conto del titolare del trattamento. Possiede una conoscenza specialistica della materia, affidabilità ed è in possesso di risorse tecniche adeguate. Può essere interno o esterno all’ente o all’azienda, spesso è il fornitore esterno del servizio, per questo deve essere predisposto un contratto che deve prevedere che il responsabile del trattamento:

1. tratti i dati personali soltanto su istruzione documentata del titolare del trattamento;

2. garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;

3. adotti tutte le misure richieste ai sensi dell'articolo 32;

4. rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;

5. tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo del titolare del trattamento di dare seguito alle richieste per l'esercizio dei diritti dell'interessato di cui al capo III;

6. assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36;

7. su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento

8. metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all’art. 28.

DPO - Data Protection Officer (o Responsabile della Protezione dei Dati, RDP)

Indica il responsabile della protezione dei dati, la nuova figura professionale introdotta dal nuovo GDPR. Lo stesso regolamento prevede che il DPO possa essere un soggetto interno oppure esterno alla struttura del titolare o del responsabile. Si tratta di una figura di supporto e di affiancamento per il titolare o per il responsabile del trattamento dati, nella gestione dei rischi, e in generale nell’applicazione e nella osservanza del gdpr. Per le Pubbliche Amministrazioni il DPO è obbligatorio (articolo 37).

Il Registro dei trattamenti

I titolari e i responsabili di trattamento, fatta eccezione per gli organismi con meno di 250 dipendenti (solo se non effettuano trattamenti a rischio - art. 30, paragrafo 5), devono tenere un registro delle operazioni di trattamento (art. 30). Si tratta di uno strumento fondamentale sia per eventuali supervisioni da parte del Garante, sia allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all'interno di un'azienda o di un soggetto pubblico – indispensabile per ogni valutazione e analisi del rischio. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

Misure di sicurezza

Le misure di sicurezza devono essere messe in campo dal titolare del trattamento e dal responsabile del trattamento; il paragrafo 1 dell'art. 32 del GDPR riporta una lista aperta e non esaustiva di “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”. Dal 25 maggio 2018 non possono sussistere obblighi generalizzati di adozione di misure "minime" di sicurezza (ex art. 33 Codice) poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati.

L’art. 32 fa inoltre riferimento alla possibilità di utilizzare l'adesione a specifici codici di condotta o a schemi di certificazione per attestare l'adeguatezza delle misure di sicurezza adottate.

Violazioni

Tutti i titolari devono notificare all'autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque "senza ingiustificato ritardo", ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati. La notifica all'autorità dell'avvenuta violazione non è obbligatoria, ma subordinata alla valutazione del rischio per gli interessati condotta dal titolare. Se la probabilità di tale rischio è elevata, si dovrà informare delle violazione anche gli interessati, sempre "senza ingiustificato ritardo".

Gli obblighi per la gestione del rischio ex-ante

Per la gestione del rischio ex ante:

• i dati devono essere sicuri (https);

• i dati devono essere conservati attraverso sistemi sicuri, dove saranno anonimizzati o criptati;

• devono essere definiti i livelli di accesso dei dipendenti ai vari livelli del server dove risiedono i diversi dati;

• deve essere stabilita una policy di identificazione dei dipendenti;

• deve essere stabilita una policy per l’utilizzo dei propri device dentro l’ente o la possibilità di “portare a casa il lavoro” e attraverso quali reti e dispositivi ci si connette (VPN, altro);

• deve essere stabilita una policy di accesso ai locali dove risiede il server;

• deve essere stabilita una policy di backup dei dati e di disaster recovery;

• devono essere stabilite le misure da adottare in caso di data-breach.

I riferimenti italiani

• Regolamento GDPR;

• Linee guida di design per i siti internet e i servizi digitali della PA - Requisiti di Affidabilità, trasparenza e sicurezza (4.2): https://docs.italia.it/italia/design/lg-design-servizi-web/it/versione-corrente/requisiti.html#affidabilita-trasparenza-e-sicurezza;

• Garante per la protezione dei dati personali “Cosa intendiamo per dati personali?” e Il Registro delle attività del trattamento https://www.garanteprivacy.it/registro-delle-attivita-di-trattamento;

• Misure minime di sicurezza ICT per le pubbliche amministrazioni https://www.agid.gov.it/it/sicurezza/misure-minime-sicurezza-ict.