Data protection by design e by default: le implicazioni operative e organizzative sulle aziende

I termini data protection by design e data protection by default sono diventati, inutile negarlo, il mantra della nuova privacy, sebbene nell’intero corpo del nuovo Regolamento generale europeo (GDPR) formato da ben 173 “considerando” e 99 articoli questa espressione è ripetuta solo cinque volte.

Mi pare di dover riscontrare, tuttavia, tra gli stessi operatori “privacy”, consulenti e DPO che dir si voglia, assai poca chiarezza sulla reale portata di questi due nuove concetti.

Data protection by design e by default: le definizioni

È dunque utile esplicitare i concetti di data protection by designa e data protection by default anche per comprendere a quali conseguenze pratiche, sul piano organizzativo e operativo aziendale, possono condurre.

La loro definizione, intanto, è rinvenibile all’art. 25 del GDPR, il cui primo paragrafo è riservato al concetto di data protection by design ed il secondo paragrafo a quello di data protection by default.

Il principio della cosiddetta “privacy by design”, dunque, è costituito dalla prescrizione per cui:

“Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”.

È quindi chiaro che, per il legislatore europeo, sia al momento di determinare i mezzi di trattamento, quindi fin dalla fase embrionale del trattamento medesimo, sia all’atto della sua concreta esecuzione, il titolare debba organizzarsi in modo tale da attuare efficacemente i principi di protezione dei dati, tra i quali l’articolo cita quello della minimizzazione come mero esempio.

A tal fine dovrà mettere in atto misure tecniche e organizzative adeguate, tra le quali viene citata, sempre come mero esempio, quello della pseudonimizzazione, integrando, altresì, quelle garanzie che si rendano necessarie a soddisfare tutti i requisiti del GDPR e tutelare i diritti degli interessati.

Con l’espressione “by design”, quindi, si intende descrivere quell’atteggiamento che il titolare del trattamento deve assumere quando si appresta a progettare la propria attività professionale o imprenditoriale, dove è chiamato ad anteporre a qualsiasi idea “industriale” sottesa al progetto, una previa analisi di fattibilità della stessa, sotto il profilo della tutela del dato.

Questo, peraltro, per attuare in modo concreto tutti i principi di protezione dei dati, tra i quali la “minimizzazione”, indicata nel paragrafo primo dell’art. 25, è solo uno dei nove tra quelli fissati dal GDPR all’art. 5 che, come noto, sono:

1. Liceità: il titolare dovrà individuare chiaramente, prima di intraprendere il trattamento, la base di liceità su cui lo stesso si fonda;
2. Correttezza: il titolare, oltre ad individuare la base giuridica che lo legittima al trattamento, dovrà fare di più: dovrà, cioè, predisporre i controlli, o meglio, gli anticorpi interni, affinché il trattamento si limiti davvero, per tutta la sua durata, ad un utilizzo dei dati coerente con la base di liceità e strettamente necessario alla propria attività imprenditoriale o professionale;
3. Trasparenza: il titolare adempirà questo principio predisponendo una informativa veridica e completa sulle proprie attività di trattamento e mettendo in atto misure organizzative tali da consentire agli interessati di conoscere fin da subito, e a fondo, la tipologia di trattamento che si fa sui loro dati ed in modo tale da rendere concreto ed effettivo l’esercizio dei loro diritti;
4. limitazione della finalità: il titolare dovrà individuare lo scopo essenziale al trattamento, predisponendo misure di controllo e verifica per vigilare che neppure per errore i dati vengano destinati a scopi diversi da quelli per cui sono stati raccolti;
5. minimizzazione dei dati: il titolare dovrà chiedersi – e documentare, prima ancora di iniziare le proprie attività imprenditoriali e/o professionali che richiedono il trattamento di dati personali, quali e quanti dati si rendano assolutamente indispensabili per il corretto raggiungimento della finalità sottesa all’attività imprenditoriale/professionale stessa;
6. esattezza: il titolare dovrà dire quali misure mette in atto per procedere ad una costante verifica dell’esattezza dei dati. Su questo piano, come su quello della Riservatezza, viene in ausilio la misura di sicurezza della “pseudonimizzazione”;
7. limitazione della conservazione: il titolare è tenuto ad individuare in concreto per quale periodo di tempo si renderà necessario conservare i dati oggetto di trattamento e per quale ragione, dandone conto, come, peraltro, per tutto quanto fin qui detto;
8. integrità: il titolare è tenuto ad indicare fin da prima dell’inizio del trattamento dei dati quali misure di sicurezza mette in atto per garantire che i dati siano tutelati quanto alla loro integrità ed alla loro riservatezza;
9. riservatezza.

Per ottenere questo scopo, il titolare potrà avvalersi di misure tecniche e organizzative adeguate, tra le quali la pseudonimizzazione costituisce solo uno dei tanti esempi possibili.

Il principio, invece, di “privacy by default”, viene definito dalla prescrizione per cui:

“Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica”.

Emerge, pertanto, che la “privacy by default” è un attributo delle stesse misure tecniche e organizzative necessarie a garantire la tutela dei principi fin dal progetto (by design), come esaminate più sopra.

La privacy by default nei sistemi di raccolta dati

Il fatto che queste adeguate misure tecniche e organizzative debbano operare “per impostazione predefinita”, implica che, sia a livello operativo (disposizioni organizzative, procedure interne, previsioni disciplinari interne, modulistiche ecc.) sia a livello informatico (setting dei software) la raccolta stessa dei dati ed il successivo loro trattamento vengano auto-limitati per impostazione predefinita, quasi “in automatico”.

La parola inglese “default”, correttamente tradotta nella versione italiana del GDPR come “impostazione predefinita”, in realtà porta con sé un quid pluris di significato che un po’ si è perso nella traduzione italiana, ma che ci aiuta a comprendere meglio cosa in concreto occorra fare per ottemperare all’obbligo.

Nel Cambridge Dictionary, al lemma “default”, troviamo, tra gli altri – inconferenti – significati di “fallimento”, “insuccesso” ecc., il significato che ci riguarda, tratto direttamente dal mondo informatico:

the way in which a software program behaves or things appear on a computer screen unless you change them

Il che significa che si usa la parola “default” per descrivere la modalità (“the way”) in cui un programma software si comporta o le cose appaiono sullo schermo di un computer, a meno che l’utente non la vada a modificare.

Questo ci spinge a ritenere che per poter parlare di misure tecniche e organizzative adeguate, operanti secondo una impostazione predefinita, modificabile dall’utente solo in via di eccezione, occorrerà stabilire in maniera esplicita e non equivoca quali siano le “operazioni” consentite, per impostazione predefinita, da un sistema di raccolta (e di successivo trattamento) dei dati, pensato per raccogliere (e successivamente trattare) solo i dati strettamente necessari e, altresì, quali siano le misure adottate perché le modifiche di tali limitazioni siano impedite o consentite solo previa autorizzazione.

Non credo sia possibile dimostrare alcuna ottemperanza al principio in esame se non descrivendo esplicitamente (per iscritto) e dettagliatamente tali operazioni.

Tale descrizione dovrà essere assai minuziosa, dovendo riguardare più di una fase dell’attività di trattamento, considerato che, come sempre apprendiamo dalla lettura del secondo paragrafo dell’art. 25 del GDPR, nel giudizio di “necessarietà” del dato non viene in considerazione solo l’aspetto quantitativo, cioè quanti dati raccolgo, ma anche quello qualitativo.

Entrambi gli aspetti, poi, vengono declinati sotto molteplici profili.

Si legge, infatti, al paragrafo 2 in esame, che l’obbligo di limitare la raccolta ed il trattamento ai dati strettamente necessari vale non solo per la quantità dei dati personali raccolti, ma anche per la portata del trattamento cui gli stessi vengono sottoposti, per il periodo in cui essi vengono conservati e per la qualità e l’estensione di poteri dei diversi soggetti cui è data accessibilità ai dati.

Su quest’ultimo aspetto, in particolare, così infatti chiude il paragrafo, le misure tecniche ed organizzative adeguate che il titolare deve adottare “garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche, senza l’intervento della persona fisica”.

Per tutto ciò, quindi, occorrerà dimostrare di aver effettivamente adottato misure organizzative e tecniche adeguate.

Se, ad esempio, utilizzo un gestionale, dovrò essere in grado di giustificare perché nella maschera della scheda anagrafica siano attivi o meno determinati campi di raccolta dati e perché il software sia – o non sia – impostato per una cancellazione programmata dopo un dato periodo di tempo, e da cosa è giustificato quel periodo di tempo.

Conclusioni

La prima analisi da compiere, quindi, è quella mirata ad individuare quali informazioni personali si rendano assolutamente indispensabili in ciascun ramo di attività, per ogni singola tipologia di trattamento, essendo ovvio, ad esempio, che per gestire il rapporto di lavoro dipendente mi serviranno un certo numero e tipologia di dati personali ben diversi da quelli, ad esempio, occorrenti per gestire il rapporto con la clientela.

Una volta compiuta l’analisi occorrerà determinare se e come è possibile auto-limitare, sia sul piano informatico che procedimentale, la raccolta dei dati: meno dati possiedo, meno dati tratto; meno dati tratto, meno rischi corro. Dopo di che, andranno concretamente adottate le misure tecnologiche e/o organizzative per dare effettiva attuazione a questa auto-limitazione.

Fatto ciò, occorrerà ripetere questo procedimento anche per determinare l’estensione del trattamento dei dati, la durata della loro conservazione, i limiti di accessibilità agli stessi e via dicendo oltre alle misure tecnologiche e/o organizzative per dare effettiva attuazione anche a tali ulteriori auto-limitazioni.

Di tutte queste attività di analisi e di auto-limitazione andrà conservata documentazione scritta, sia a fini probatori, sia per finalità di organizzazione e controllo interni.

È certamente un’attività “complessa”, ma se si vuole dare un senso al GDPR, questa è.

È chiaro che un ausilio notevole dovrà pervenire da chi sviluppa i software gestionali, che dovranno poter essere “calibrati” e “settati”, per consentire quanto sopra.

Non vedo altre vie per dare concretezza al principio della privacy by design e by default.