Principio di Privacy by Design e by Default

Negli ultimi anni si è ampiamente discusso sull’importanza di una maggiore privacy per l’utente, soprattutto nel web. Nel 2012 la Corte di Giustizia dell’Unione Europea ha così proposto un nuovo quadro normativo che riuscisse a garantire una maggiore protezione dei dati personali dell’utente. Il 25 maggio 2018 entrerà, a tal proposito, il nuovo regolamento europeo, definito a livello globale come General Data Protection Regulation (GDPR), che definisce nuovi importanti ruoli per i titolari e i responsabili del trattamento dei dati. Il GDPR comporta una serie di novità fondamentali per la persona interessata, la quale potrà godere di maggiori diritti. Se da una parte la persona interessata potrà godere di una maggiore riservatezza, dall’altra parte per garantire questa protezione sarà necessario che le aziende e le pubbliche amministrazioni adottino un approccio proattivo e non più reattivo, attraverso procedure che consentiranno di intervenire a monte per garantire l’integrità e la disponibilità dei dati personali. Tale approccio, definito anche “privacy by default”, consente che i dati vengono immediatamente salvaguardati, non appena entrano in contatto con l’organizzazione, per evitare di commettere errori.

Secondo il principio di privacy by design e by default, qualsiasi progetto deve essere disegnato seguendo i criteri della riservatezza sin dalla progettazione (da qui la definizione di “privacy by design”). Ciò significa che bisogna prevenire e non correggere, avendo come punto centrale sempre il mantenimento della trasparenza e il rispetto della privacy dell’utente. Le linee guida privacy by design e by default mettono in chiaro il ruolo centrale dell’utente, al quale, essendo il protagonista del regolamento GDPR, dovranno essere garantiti i principi di privacy e sicurezza, nella fase antecedente del progetto.

Nel regolamento GDPR, il principio di privacy by design e by default, è sancita all’articolo 25 in materia di Protezione dei dati fin dalla progettazione e per impostazione predefinita. Il seguento articolo dichiara che il titolare del trattamento deve mettere “in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”. Inoltre, viene specificato che le misure devono garantire che nella privacy by default, o per impostazione predefinita, i dati personali non vengano resi accessibili “a un numero indefinito di persone fisiche senza l’intervento della persona fisica”.