Privacy by design e privacy by default: qual’è la differenza?
Con l’entrata in vigore del nuovo regolamento europeo sulla privacy sono stati introdotti due concetti fondamentali: privacy by design e privacy by default. Questi due termini sono necessari all’imprenditore che ha l’obbligo di adottare misure di sicurezza conformi al GDPR.
Privacy by design e privacy by default nel contesto del regolamento europeo GDPR:
L’articolo 25, in particolare, introduce il principio di privacy by design e privacy by default. Potremmo definirlo come un nuovo concetto innovativo che impone alle aziende l’obbligo di avviare un progetto prevedendo, fin da subito i rischi che possono incontrare per la tutela dei dati personali, di conseguenza potranno scegliere di quali strumenti dotarsi.
Privacy by design
Questo concetto (già introdotto nel 2010) non è altro che un concetto di prevenzione rischi, possiamo riassumerlo in pochi semplici punti:
– Prevenire non correggere eventuali problemi nella fase iniziale, quindi la fase di progettazione!
– Privacy come impostazione di default;
– Privacy incorporata nel progetto di un’azienda;
– Funzionalità e flessibilità ottimale, in modo tale da rispettare tutte le esigenze dell’azienda;
– Sicurezza dei dati durante tutto il ciclo del prodotto o servizio aziendale;
– Principio della trasparenza;
– Centralità dell’utente.
Bisogna quindi tutelare non solo i dati personali del soggetto, ma anche il soggetto stesso per far sì che vi sia una conformità con il regolamento.
Dall’articolo 25 in realtà si può intuire che l’approccio del GDPR è un approccio basato sulla valutazione del rischio (risk based approach), ovvero un’approccio basato sulla misurazione di responsabilità del titolare o del responsabile del trattamento.
Per effettuare una valutazione del genere bisogna però tenere conto di molteplici fattori.
Non è facile fare un’analisi sulle responsabilità dei soggetti, ma esistono alcuni dati che possono aiutarci!
- la natura del dato;
- la portata;
- il contesto e le finalità per il suo utilizzo;
- Il peso del rischio stesso (la chiara definizione di rischio è riportata nel GDPR negli articoli 75 e 76)
Questo obbligo (la valutazione del rischio) ha il vantaggio di essere più flessibile e adattabile al mutare delle esigenze e degli strumenti tecnologici, ma ha anche lo svantaggio di delegare all’azienda la valutazione del rischio, in questa maniera sarà più difficile capire le eventuali violazioni.
Con questo nuovo approccio si considerano dei casi più gravi di altri! Per esempio, i dati di un minore risultato sicuramente più importanti dei dati di un adulto, come se i diritti di un adulto fossero meno fondamentali di quelli del bambino. Viene inoltre posta maggiore attenzione al trattamento di dati su larga scala (in grandi quantità). E’, quindi, un approccio proporzionale alle dimensioni aziendali.
Privacy by default
Il principio di privacy by default stabilisce, invece, che per impostazione predefinita le imprese dovrebbero trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini. Cosa significa? Semplicemente che un’azienda non dovrà ricorrere all’utilizzo di eccessivi dati senza motivi specifici.
Cosa può fare un’azienda per tutelarsi da questi due principi?
Le imprese di sicuro avranno l’obbligo di predisporre una valutazione di impatto privacy ogni volta che avviano un progetto che prevede un trattamento di dati.