L'art. 25 GDPR introduce due principi spesso citati insieme ma distinti: la protezione dei dati fin dalla progettazione (privacy by design) e la protezione dei dati per impostazione predefinita (privacy by default). Non sono slogan di marketing della compliance: sono obblighi giuridici precisi che condizionano come un'azienda deve progettare i propri sistemi, prodotti e processi che trattano dati personali. Contenuto informativo: l'applicazione concreta di questi principi a un progetto specifico richiede sempre un DPO o un consulente privacy con competenze tecniche.
La distinzione tra i due principi è più pratica che teorica: il primo riguarda il momento in cui le misure vengono pensate (durante la progettazione, non dopo), il secondo riguarda cosa succede quando l'utente non interviene attivamente sulle impostazioni.
Privacy by design: integrare, non aggiungere
Privacy by design significa che il titolare, al momento di determinare i mezzi del trattamento e durante il trattamento stesso, deve mettere in atto misure tecniche e organizzative adeguate per garantire l'effettiva applicazione dei principi di protezione dei dati. In pratica, questo si traduce in scelte concrete fatte durante la progettazione: minimizzare i campi di un modulo di iscrizione a quanto strettamente necessario, pseudonimizzare i dati quando possibile, separare i database che contengono dati identificativi da quelli che contengono dati di profilazione.
Un esempio frequente di violazione di questo principio è un'app che richiede l'accesso alla rubrica completa del telefono per una funzionalità che richiederebbe solo il numero di un singolo contatto: la progettazione non ha minimizzato l'accesso ai dati fin dall'inizio.
Privacy by default: le impostazioni più protettive come standard
Privacy by default richiede che, in assenza di un intervento attivo dell'utente, vengano trattati solo i dati personali necessari per ciascuna specifica finalità, e che siano trattati per il periodo minimo necessario, con accessibilità limitata al pubblico solo se attivamente scelta dall'utente. Un'impostazione predefinita che rende pubblico il profilo di un utente, lasciando a lui l'onere di renderlo privato, viola questo principio: la configurazione di default dovrebbe essere quella più protettiva, non quella più esposta.
I fattori da considerare nella scelta delle misure
L'art. 25 non impone un elenco fisso di tecnologie da adottare, ma richiede di considerare lo stato dell'arte, i costi di attuazione, la natura, l'oggetto, il contesto e le finalità del trattamento, e i rischi per i diritti e le libertà delle persone fisiche. Questo significa che la stessa azienda può legittimamente adottare misure diverse per trattamenti diversi: un trattamento a basso rischio (un form di contatto semplice) non richiede le stesse misure di un trattamento ad alto rischio (una piattaforma di telemedicina).
Perché costa di più aggiungerla dopo
Modificare l'architettura di un sistema già in produzione per integrare misure di protezione dei dati richiede tipicamente di rivedere flussi di dati consolidati, schemi di database, integrazioni con sistemi terzi, e talvolta processi aziendali interi. L'impatto su tempi e costi è sistematicamente superiore rispetto a progettare correttamente fin dall'inizio: per questo motivo molte aziende che hanno trattato la privacy come un adempimento da aggiungere a fine progetto si trovano poi a dover rifattorizzare interi sistemi per raggiungere la conformità.
Domande frequenti
- Cosa significa privacy by design in pratica?
Significa integrare le misure di protezione dei dati già nella fase di progettazione, non aggiungerle dopo. Ad esempio, raccogliere solo i campi strettamente necessari in un modulo, invece di raccoglierne molti di più e filtrarli dopo.
- Cosa significa privacy by default?
Significa che, senza intervento attivo dell'utente, le impostazioni predefinite devono garantire il livello di protezione più elevato: solo i dati necessari devono essere trattati di default, per il periodo minimo necessario.
- Quali fattori deve considerare il titolare?
Lo stato dell'arte, i costi di attuazione, la natura, l'oggetto, il contesto e le finalità del trattamento, e i rischi per i diritti delle persone fisiche.
- Perché aggiungere la privacy dopo costa di più?
Modificare un sistema già in produzione richiede di rivedere flussi di dati, database e integrazioni consolidate, con un impatto su tempi e costi superiore rispetto a progettarle correttamente fin dall'inizio.