Privacy by design e Privacy by default sono due principi fondamentali definiti nel Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea. Si tratta di un approccio concettuale e operativo alla protezione dati, mirato a garantire che la privacy e la sicurezza siano integrate in ogni fase del trattamento, a partire dalla sua progettazione. 

Privacy by design

Secondo il principio della Privacy by design, la protezione dei dati deve essere integrata fin dalle fasi iniziali di progettazione (by design) di un servizio, prodotto o processo aziendale. Il titolare del trattamento deve quindi considerare la tutela della privacy in ogni fase del ciclo di vita dei dati, dall’ideazione e progettazione fino alla raccolta, all’uso e alla conservazione delle informazioni. L’approccio è innovativo perché chiede di prevenire potenziali problemi di sicurezza e privacy incorporando da subito delle misure di protezione adeguate.

Privacy by design è un concetto sviluppato dalla commissaria per la privacy dell’Ontario, Ann Cavoukian, a metà degli anni ‘90, e poi adottato ufficialmente nel 2010 nell’ambito 

della 32ª Conferenza mondiale dei Garanti privacy. Nel GDPR, si trova enunciato nell’art. 25:

“Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.”

Le aziende sono obbligate a verificare la liceità e conformità nell’uso dei dati prima di effettuare il trattamento. Le finalità del trattamento e i rischi per la libertà dei soggetti interessati devono essere valutati a priori, implementando le misure adeguate all’atto della progettazione di un servizio e delle relative applicazioni informatiche di supporto. Tra le possibili misure, la pseudonimizzazione è citata nell’articolo come esempio. L’obiettivo è ridurre il rischio nel trattamento, incorporando fin da subito i requisiti per la privacy.

Privacy by default

Privacy by Default è invece il principio che garantisce che le impostazioni predefinite (“by default”) di qualsiasi sistema, servizio o prodotto offrano il massimo livello di privacy possibile. Anch’esso è contenuto nell’art. 25 del GDPR:

“Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica”.

Questo significa che, a meno che non vi sia un intervento da parte dell’utente, solo i dati strettamente necessari per il funzionamento del servizio devono essere raccolti. Le impostazioni di privacy devono essere configurate di default per limitare al minimo la raccolta, l’utilizzo e la conservazione dei dati personali. 

Conclusione: come implementare la Privacy by design e by default?

Privacy by Design e Privacy by Default non sono semplicemente obblighi normativi, ma rappresentano un approccio etico e sostenibile alla gestione dei dati personali. Integrando questi principi nelle loro operazioni, le aziende possono non solo conformarsi al GDPR, ma anche costruire una reputazione di fiducia e trasparenza con i loro clienti. La protezione della privacy non è un’opzione, ma una necessità in un mondo sempre più digitale e interconnesso.

Come devono fare le aziende per implementare efficacemente i principi di Privacy by design e Privacy by default?

• Educare i dipendenti sull’importanza della privacy e sulle modalità per integrarla nei processi aziendali.
• Condurre valutazioni regolari per identificare e mitigare i rischi per la privacy.
• Utilizzare tecnologie aggiornate e sicure per proteggere le informazioni personali.
• Monitorare continuamente le pratiche di gestione dei dati e aggiornare le misure di protezione per adeguarsi alle nuove minacce e normative.
• Valutare di rivolgersi a un consulente esterno per la privacy per garantire la compliance al GDPR.