L’articolo 25 del GDPR – il regolamento UE 2016/679 in materia di protezione dei dati personali applicabile dal 25 maggio 2018 in tutti i paesi aderenti all’Unione – si è imposto come uno dei più importanti nell’applicazione pratica ed operativa di tutele adeguate in materia di riservatezza, integrità e salvaguardia dei dati personali. Tale articolo, nel corso degli ultimi tre anni, è stato più volte reinterpretato e analizzato sia dalle Autorità Garanti nazionali, i cui compiti sono stai confermati e potenziati dal GDPR, sia dal Comitato europeo dei Garanti (European Data protection Board, EDPB), che coordina le attività dei primi contribuendo in modo fondamentale al rispetto degli obblighi di legge per gli stati membri attraverso una costante vigilanza, finalizzata ad una corretta applicazione del Regolamento sia per quanto riguarda i diritti riconosciuti ai cittadini europei che per gli obblighi in capo ad aziende, enti e titolari del trattamento. L’azione dell’EDPB si esprime anche attraverso provvedimenti noti come “Linee guida”, che consistono in chiarimenti su singoli aspetti inerenti la legislazione per la protezione dei dati personali in vigore.
Nel mese di ottobre del 2020 l’EDBP ha adottato le linee guida circa la corretta applicazione dei principi di data protection by design e data protection by default stabiliti dall’articolo 25 GDPR: un provvedimento importante, in grado di fornire una guida generale sull’obbligo di protezione dei dati fin dalla progettazione e per impostazione predefinita a cui ha fatto seguito anche la pubblicazione di analogo vademecum da parte del Garante per la Protezione dei dati personale italiano.
La corretta traduzione letterale dei due principi – by design e by default – corrisponde a protezione dei dati fin dalla progettazione e protezione dati per impostazione predefinita: vediamo ora di comprendere nel dettaglio come le citate linee guida rappresentano uno strumento molto utile su come un titolare del trattamento debba mettere in pratica tali disposizioni proprie del Regolamento comunitario.
Il concetto di data protection by design prevede che il titolare del trattamento debba mettere in atto misure tecniche ed organizzative adeguate, quali la pseudonimizzazione, per poter soddisfare i requisiti e le garanzie sancite dal GDPR a tutela dei diritti degli interessati. L’EDPB individua cinque macroaree delle quali occorre tener conto per arrivare ad una corretta applicazione della protezione dati fin dalla progettazione: stato dell’arte, costo di attuazione, natura, ambito, contesto e finalità del trattamento, rischi del trattamento e aspetti legati al tempo.
Per quanto riguarda lo stato dell’arte, esso viene definito come la necessità da parte del titolare del trattamento di tenere conto degli attuali progressi tecnologici disponibili sul mercato in grado di facilitare il trattamento stesso oltre ad aumentare una migliore accessibilità da parte dell’interessato nel fruire dei suoi diritti legittimi. L’adeguatezza allo stato dell’arte non si riferisce soltanto ai mezzi tecnologici ma anche alle misure tecniche ed organizzative del lavoro, attingendo a codici di condotta o a meccanismi di certificazione.
Il secondo aspetto riguarda il costo di attuazione e garantisce che non siano necessarie spese sproporzionate nell’organizzazione del titolare quando esistono misure alternative meno impegnative dal punto di visto del bilancio, ma comunque accessibili ed efficaci.
Natura, ambito, contesto e finalità del trattamento devono essere definiti in modo chiaro ed inequivocabile, attraverso modalità esplicite di trasparenza in grado di rispettare i principi di proporzionalità e integrità: in tal senso, una pratica assolutamente scorretta risulta essere quella ti utilizzare il dato oltre l’autorizzazione avuta mediante consenso informato o utilizzarlo in un contesto diverso dalla natura del trattamento – aziendale, a fini commerciali, di marketing- senza avvertire di ciò l’interessato. Per quanto riguarda i rischi del trattamento il focus del titolare deve essere sempre improntato ad un continuo aggiornamento grazie ad una proficua valutazione del rischio di perdita di integrità e riservatezza dei dati, mediante l’utilizzo di opportuni processi operativi, così come, ad esempio, indicati da ENISA, l’Agenzia Europea per la Cybersecurity.
L’ultimo aspetto è quello cronologico, e prevede una responsabilizzazione nella scelta dei mezzi di trattamento in modo oculato, controllando anche l’adeguatezza del fornitore del servizio, il quale anch’esso deve rispettare gli standard di adeguatezza stabiliti dal GDPR: qualora il titolare nell’effettuare un trattamento di tali personali utilizzi un software o un programma su licenza o concessione di terzi, dovrà sincerarsi che tale risorsa preveda al suo interno attivi meccanismi automatizzati per la cancellazione o la minimizzazione dei dati una volta completato il trattamento principale.
La data protection by default, ovvero per impostazione predefinita, viene analizzata in quattro distinti aspetti: la minimizzazione, la portata del trattamento, il periodo di trattamento e l’accessibilità dei dati personali. Il primo punto riprende il principio di necessità: non tratto i dati più a lungo di ciò che è necessario, conservandoli fino a quando ne ho veramente bisogno. Obbligatoria deve essere una dimensione minima delle categorie e dei volumi di dati da raccogliere, che devono essere strettamente essenziali e coerenti con la finalità del trattamento. In tal senso quindi meno dati ho a disposizione, meno rischi corro e meno responsabilità mi assumo.
A questi due aspetti è, ovviamente, legato anche il periodo di trattamento, che deve essere predefinito e rispettato, prevendendo una volta terminato di anonimizzare o cancellare i dati in modo automatico: un principio che in molti casi dovrebbe essere garantito anche da chi produce software, ma che tuttavia allo stato dell’arte non avviene, evidenziando possibili difficoltà nel dover provvedere a una eliminazione manuale. Da ultimo, i dati personali devono, seguendo tale percorso logico, mantenere intatta la loro accessibilità, tale per cui l’interessato possa essere in ogni momento messo in condizioni di usufruire dei suoi diritti quali la portabilità, l’aggiornamento, la veridicità, la cancellazione, e l’oblio.
Le linee guida dell’EDPB, estremamente limpide ed esemplificative, definiscono quindi la cornice giusta attraverso la quale realizzare politiche di data protection by design e data protection by default, rimarcando una volta di più il principio di responsabilizzazione in capo al titolare del trattamento, che deve dimostrare di essere compliant al dettato del GDPR, seguendo buone pratiche di riservatezza, legalità e trasparenza in tutto il ciclo di vita del trattamento. IDEA PSI, la nostra realtà aziendale, attraverso il prodotto IDEA PRIVACY, permette di avere tutti gli strumenti a disposizione per impostare la tua privacy sia per impostazione predefinita sia da un punto di vista di progettazione, grazie alle sezioni del software elaborate in modo tale da rispondere conformemente all’articolo 25 del GDPR: con l’obiettivo di facilitare il più possibile l’organizzazione aziendale, contribuendo in modo decisivo ad una trasparente gestione dei dati personali.