Privacy by Design

14/05/2015

Il tema della privacy riguarda il diritto degli individui alla protezione dei propri dati personali. L'evoluzione tecnologica ha inciso ovviamente anche sulla privacy poiché è necessario prevenire i rischi e comunque garantire la protezione dei dati personali. I dati relativi alla rete internet e al numero di utenti ad essa connessi sono sufficientemente eloquenti e attestano come siano mutate in modo radicale nel corso degli anni sia le attività lavorative sia le abitudini di vita delle persone.

Questo complesso scenario ha determinato la necessità di una evoluzione anche per la privacy. Infatti, già a metà degli anni '90, il contesto internazionale ha evidenziato il cambiamento apportato alla privacy proponendo le c.d. PET (acronimo di Privacy Enhancing Technologies), ossia tutte quelle tecnologie in ambito ICT che sono utili ad accrescere la protezione dei dati personali.

Del resto, un riferimento a questo importanteconcetto delle PET è contenuto nell'art. 3 del codice della privacy, rubricato "Principio di necessità nel trattamento dei dati", che recita "I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità". 

Successivamente alle PET si è giunti alla Privacy by Design. 

Ma che cos'è la Privacy by Design (PbD) e cosa rappresenta?


La Privacy by Design è un ulteriore tassello nella evoluzione dei principi relativi alla protezione dei dati personali e rappresenta il futuro della privacy. Si tratta di un innovativo approccio concettuale che va utilizzato in ogni occasione e contesto in cui sia necessario garantire la protezione dei dati personali; è il sistema attuale per affrontare la privacy mediante il quale si devono sdoganare criteri ed approcci meno recenti. In sostanza la Privacy by Design rappresenta il futuro della privacy.

Nel 2010 la 32ma Conferenza mondiale dei Garanti privacy ha adottato la risoluzione sulla Privacy by Design (PbD) rendendo in tal modo ufficiale questo nuovo concetto che era comunque già noto ed utilizzato negli Stati Uniti e in Canada. Con la PbD si è inteso istituzionalizzare il cambiamento e l'evoluzione della privacy che, pertanto, richiede un nuovo approccio per garantire una migliore protezione dei dati personali. 

Successivamente, il concetto di Privacy by Design – sebbene con una qualificazione diversa (privacy by design and by default) – è stato introdotto nella proposta di riforma europea della normativa in materia di dati personali che attualmente attende l'approvazione definitiva. Infatti, il 25 gennaio 2012 la Commissione europea ha proposto il nuovo quadro giuridico europeo in materia di protezione dei dati e la proposta di Regolamento introduce (articolo 23) l'espressione "data protection by design and by default". Secondo il testo di questo articolo è chiaro che la Commissione europea esamini i termini "by design" e "by default" come concetti diversi, anche se utilizzati congiuntamente come unica espressione. 


Nel contesto internazionale, però, è presente unicamente la descrizione ben strutturata della Privacy by Design, frutto della elaborazione della Dott.ssa Ann Cavoukian (che, quale Information and Privacy Commissioner of Ontario, Canada, fu tra i promotori della risoluzione adottata nel 2010).

Secondo questa impostazione, l'utente è considerato il centro del sistema privacy(per definizione, quindi, è "user centric").
Qualsiasi progetto (sia strutturale sia concettuale) va realizzato considerando dalla progettazione (appunto by design) la riservatezza e la protezione dei dati personali.

La PbD comprende una trilogia di applicazioni (1. sistemi IT; 2. pratiche commerciali corrette; 3. progettazione strutturale e infrastrutture di rete) e vengono individuati 7 principi definiti fondazionali che esprimono pienamente l'intero senso di questa prospettiva (1. Proattivo non reattivo – prevenire non correggere; 2. Privacy come impostazione di default; 3. Privacy incorporata nella progettazione; 4. Massima funzionalità − Valore positivo, non valore zero; 5. Sicurezza fino alla fine − Piena protezione del ciclo vitale; 6. Visibilità e trasparenza − Mantenere la trasparenza; 7. Rispetto per la privacy dell'utente − Centralità dell'utente).

Si tratta, indubbiamente, di un approccio metodologico ben strutturato che garantisce una neutra e solida funzionalità operativa indipendente da specifiche soluzioni tecnologiche. Del resto, ciò è del tutto conforme con i valori fondamentali dell'individuo. 

L'obiettivo principale è quello di elaborare due concetti: la protezione dei dati e degli utenti. In realtà, si presta attenzione in primo luogo alla privacy e, dopo si cerca di rispettare il diritto. L'approccio alla protezione dei dati personali e alla privacy, infatti, non può essere basata su una valutazione di conformità normativa perché è necessario che un qualsiasi processo proceda dall'utente, mettendo lui/lei al centro. L'utente diventa il punto di partenza per sviluppare il progetto in base alla legge sulla privacy e quindi con un approccio user-centric. Ogni volta che un progetto inizia deve prendere in considerazione, prima di tutto, il ruolo dell'utente, progettando tutto attorno alla persona fisica. Secondo questo metodo è molto semplice evitare i rischi privacy e di sicurezza. 

La PbD esclude, pertanto, che si possa effettuare una valutazione di conformità alla normativa successivamente alla redazione del progetto o comunque posteriormente in occasione di un evento, in quanto la privacy va considerata già nella fase di progettazione. La valutazione di "PbD compliance" costituisce un valore aggiunto di rilievo perché attesta che tutti i processi sono stati seguiti considerando adeguatamente la protezione dei dati personali. 

La proposta europea di Regolamento contiene il riferimento alla "data protection by design and by default" ma – sebbene indichi chiaramente il senso di un cambio di prospettiva rispetto al passato – l'approccio utilizzato nel testo normativo sembra più attento alle tecnologie applicate alla privacy piuttosto che alla metodologia da utilizzare e all'essenza del concetto di "by design". 

In realtà, non si può prescindere dal preminente ruolo dell'utente i cui dati personali devono essere trattati in maniera adeguata anche al fine di prevenire o ridurre al minimo i rischi privacy. 
Le applicazioni pratiche della Privacy by Design sono molteplici e non soggette a limiti (dalla progettazione strutturale di edifici o di ambienti, alla realizzazione di un progetto tecnologico o organizzativo, ad ogni soluzione progettuale in ambito IT). L'approccio alla PbD non richiede un'applicazione solo su nuovi progetti, poiché anche quelli esistenti possono beneficiare di questo sistema senza pregiudizio per quanto già realizzato.

Ad oggi, nonostante la risoluzione sulla Privacy by Design sia stata adottata nel 2010 anche con la partecipazione del Garante italiano, non risultano provvedimenti dell'Autorità che richiamino i principi contenuti nella citata risoluzione e sarebbe auspicabile che in essi si possano leggere considerazioni e determinazioni in ordine ad applicazioni concrete dei principi della Privacy by Design rispetto ai casi specifici.

Lo scrivente da tempo sostiene la opportunità e la necessità di sviluppare e strutturarenorme uniformi per uno standard privacy internazionale che garantisca, nel rispetto delle normative degli Stati, un framework comune di riferimento con cui agevolare i trattamenti di dati personali e garantirne la protezione nel rispetto della privacy.

Commento a cura di Nicola Fabiano, avvocato - Autore di Lex24 Modulo Processo Civile Telematico – Esperto Legale (Fonte: http://www.diritto24.ilsole24ore.com/art/dirittoCivile/2015-04-20/privacy-by-design-approccio-corretto-protezione-dati-personali-123915.php)