Data protection: by design e by default

data-protection:-by-design-e-by-default

data protection design default

Introdotti dall’articolo 25 del GDPR due nuovi concetti: data protection by design e data protection by default. I due impongono una gestione attiva della privacy, con il fine ultimo di garantire maggiore efficienza e acquisire credibilità sul mercato.

Data protection by design

“Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”

Ecco dunque elencati i 7 principi fondamentali che esprimono il senso di quanto appena citato:

  1. prevenire e non correggere: agire prima che si sviluppino i problemi
  2. privacy come impostazione di default: nel caso in cui siano richieste informazioni personali deve sussistere uno scopo o un motivo per raccoglierle
  3. privacy incorporata nella progettazione
  4. massima funzionalità: su una serie di obiettivi non ne prevale uno solo, ma tutti insieme concorrono alla realizzazione degli obiettivi
  5. sicurezza fino alla fine: solo con la sicurezza è possibile assicurare la gestione delle informazioni in maniera corretta per tutto il ciclo di utilizzo delle stesse
  6. visibilità e trasparenza: solo così sarà possibile instaurare quel grado di fiducia ed affidabilità necessari a permettere ai soggetti interessati di fidarsi;
  7. centralità dell’utente: il sistema di tutela dei dati personali deve porre l’utente al centro, in tal modo obbligando ad una tutela effettiva da un punto di vista sostanziale e non solo formale.

L’obbligo di data protection by design è dunque basato sulla valutazione del rischio. Fondamentale una valutazione attenta da parte delle aziende relativa ai rischi inerenti alla loro società al momento della progettazione del sistema, quindi prima che il trattamento inizi. Chiaramente si dovrà tenere conto anche del tipo di dati trattati.

È bene ricordare poi come l’approccio basato sul rischio comporta la prerogativa di tenere conto dello stato della tecnologia, per cui il trattamento va adattato e modulato nel corso del tempo.

Data protection by default

“Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica”

Per impostazione predefinita, dunque, le imprese dovrebbero trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario. Occorre, quindi, progettare il sistema di trattamento di dati garantendo la non eccessività dei dati raccolti.

In poche parole, per il professionista diventa necessario investire nel proprio aggiornamento con la logica del by design e del by default.

Di seguito alcune delle voci che possiamo immaginare coinvolte:

  • la definizione delle aree/discipline che esigono acquisizione di nuove competenze o l’aggiornamento delle stesse
  • la distinzione tra aree/discipline cui dedicare formazione
  • la selezione delle fonti abituali come siti web, riviste cartacee/on line, banche dati giuridiche ecc… per l’aggiornamento informativo
  • la programmazione dei tempi ovvero delle periodicità di ricerca/raccolta dei documenti di origine esterna
  • la definizione dei criteri di organizzazione/catalogazione ormai, per lo più, digitali dei documenti di origine esterna ed interna
  • la scelta di tempi da dedicare alle attività di lettura, studio, elaborazione dati
  • la programmazione di verifiche periodiche della idoneità/utilità e per la revisione della impostazione generale e/o delle varie scelte adottate.

Data protection: attenzione alle sanzioni

Infine, sull’articolo 25 è importante evidenziare l’aspetto sanzionatorio. Solo lo scorso ottobre, ha fatto clamore il caso Bocconi.

Il Codice della privacy si vede corredato sia da sanzioni amministrative che penali. Nonostante le loro diversità, spesso, si riscontrano sovrapposizioni che non ne consentono una corretta lettura.

Per quanto riguarda le sanzioni amministrative, si evidenzia che l’organo competente a “a ricevere il rapporto e ad irrogare le sanzioni di cui al presente capo e all’articolo 179, comma 3, è il Garante”.

Di seguito le principali violazioni amministrative:

  • omessa o inidonea informativa all’interessato
  • altre fattispecie individuate ex art. 162 Cod. Privacy
  • omessa o incompleta notificazione
  • omessa informazione o esibizione al Garante
  • trattamento illecito di dati
  • falsità nelle dichiarazioni e notificazioni al garante
  • inosservanza provvedimenti del garante

Alla pena principale, che consiste nel pagamento della somma pecuniaria o nella reclusione, può aggiungersi inoltre la pena accessoria prevista dall’art. 165 Cod. Privacy, che prevede la “pubblicazione dell’ordinanza-ingiunzione, per intero o per estratto, in uno o più giornali indicati nel provvedimento che la applica”.

Alice Zaniolo

Millennial classe 1997 con una laurea in Interpretariato e Comunicazione. Creativa e dinamica amo l’arte in ogni sua forma e sfaccettatura.

Il mio hobby preferito? Fare lunghe passeggiate in compagnia del mio amico a quattro zampe.