La riflessione

La privacy by design nel rapporto tra titolare e responsabile del trattamento dati: le soluzioni

L’applicazione del principio di privacy by design contemplato dal GDPR in futuro comincerà dalle scelte di produttori e fornitori di servizi e applicazioni, che attraverso la predisposizione di misure idonee alla protezione dei dati personali permetteranno a titolari e responsabili del trattamento di adempiere ai loro obblighi di legge. Ecco come

21 Mar 2019
C
Ernesto Covello

Data Protection designer & Data Protection Specialist

Il principio di privacy by design, contemplato dal GDPR, parte dai produttori di servizi e applicazioni: saranno infatti loro in futuro a permettere a responsabili e titolari del trattamento di adempiere ai loro obblighi in materia di protezione dei dati personali. La privacy by design si presenta come un principio fondamentale e sarà la chiave del futuro non solo in ambito privato, ma assumerà il ruolo di requisito essenziale nell’ambito degli appalti pubblici.

La normativa di riferimento

L’articolo 25 del GDPR letteralmente fa riferimento solo al titolare del trattamento di cui all’articolo 4 par. 7 e mai al responsabile del trattamento di cui all’articolo 28 del GDPR. Stante alla lettera dell’articolo 25, i principi di privacy by design e by default si applicano solo al titolare, ma è necessario creare collegamenti con le altre norme e soprattutto con i considerando.

WHITEPAPER
Previeni i difetti di sicurezza nelle applicazioni: la soluzione in 5 punti
Sicurezza
Software

L’articolo 25 si applica soprattutto ai responsabili del trattamento e questo a parere dello scrivente non è andare contro il significato letterale della norma, ma piuttosto guardare oltre attribuendo all’articolo 25 un significato importante.

Il titolare del trattamento ha la responsabilità di individuare, ai sensi dell’articolo 28 par 1 del GDPR, responsabili “che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti degli interessati”.

Tra le garanzie sufficienti, di sicuro ci sono i requisiti di privacy by design e privacy by default: il titolare avrà l’onere di ricorrere a responsabili che siano in grado di dimostrare l’osservanza del principio di accountability, cioè che i prodotti, i servizi e le applicazioni fornite al titolare siano state progettate tenendo conto della protezione dei dati personali.

Il grado di responsabilità è suddiviso tra titolare del trattamento e responsabile del trattamento, ma in futuro chi saranno i veri responsabili? Come possono titolare e responsabile adempiere ai loro obblighi in materia di protezione dei dati personali?

Il ruolo dei produttori di servizi

I produttori in futuro avranno il manuale operativo privacy by design e by default, avranno bisogno di legali in grado di trovare soluzioni al rispetto dei requisiti previsti dal GDPR.

Il titolare del trattamento può adottare politiche interne per il rispetto dei principi di privacy by design e by default, può adottare misure che soddisfino tali principi, avrà la responsabilità del trattamento, ma come potrà avere il controllo sulla progettazione e sulla protezione dei dati di default se non ha progettato quel bene o quel servizio?

Molto importante per il titolare al momento dell’acquisto di un prodotto, di un servizio, di un’applicazione, chiedere al responsabile del trattamento “garanzie sufficienti” per mettere in atto tali misure. A tal fine il responsabile avrà avuto le apposite garanzie “certificate”, si spera in futuro, dai produttori del prodotto o del servizio. In caso contrario, come potrebbe il responsabile garantire su una progettazione che non ha seguito?

La responsabilità del titolare ai sensi dell’articolo 24 del GDPR è quella di essere in grado di dimostrare che il trattamento è effettuato conformemente al Regolamento.

Come può il titolare essere in grado di dimostrarlo se non ha avuto garanzie sufficienti dal fornitore del prodotto o del servizio o dal responsabile del trattamento? E se il fornitore non ha progettato quel prodotto o quel servizio? Ecco che ritorna la responsabilità del produttore.

Una soluzione per i titolari del trattamento

Quale potrebbe essere una soluzione per i titolari del trattamento? Iniziare a inserire nei bandi di gara, nella scelta dei fornitori il rispetto dei requisiti di privacy by design e by default e la presentazione delle misure tecniche e organizzative adeguate per avere la possibilità di garantire e dimostrare che il trattamento è effettuato conformemente al GDPR.

Il titolare dovrà innanzitutto definire politiche interne e procedure adeguate sui requisiti di privacy by design e privacy by default e sulla base di tali politiche e procedure andare a definire i requisiti che dovranno avere i fornitori di prodotti e di servizi.

A tale fine decideranno a chi affidare le chiavi della propria azienda. Il titolare del trattamento potrà attuare le misure adeguate a soddisfare i principi di protezione dei dati e i principi applicabili al trattamento di cui all’articolo 5, ma per farlo ha bisogno del controllo della catena. A tal fine il legislatore europeo ha previsto al considerando 78 che “è necessario incoraggiare i produttori a tener conto della protezione dei dati al momento dello sviluppo e/o della progettazione di tali prodotti, servizi o applicazioni, “tenuto debito conto dello stato dell’arte”, a far sì che i titolari e i responsabili possano adempiere ai loro obblighi in materia di protezione dei dati personali.

Nello sviluppo o nella progettazione avranno un ruolo importante i principi applicabili al trattamento di cui all’articolo 5 del GDPR, la parte più importante della rivoluzione normativa del legislatore europeo.

Quali misure dovranno essere adottate per soddisfare i principi della protezione dei dati fin dallo sviluppo o della progettazione? Il legislatore non individua le misure necessarie, ma lascia l’onere al titolare e al responsabile di mettere in atto misure tecniche e organizzative “adeguate” per garantire un livello di sicurezza adeguato al rischio.

Il considerando 78, parlando di sviluppo e progettazione, prova a dare delle indicazioni, “tra le altre”, sulle misure per soddisfare il principio di protezione dei dati: “ridurre al minimo il trattamento dei dati personali, pseudonimizzare i dati il più presto possibile, offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, consentire all’interessato di controllare il trattamento dei dati personali, consentire al titolare di creare e migliorare caratteristiche di sicurezza”.

Conclusioni

Sul controllo del trattamento dei dati personali, guardando al futuro 4.0, allo scrivente vengono in mente i produttori e sviluppatori di auto a guida autonoma, che dovranno adottare delle misure tali da permettere all’interessato di controllare il trattamento dei dati personali.

Sempre più importante sarà per il titolare del trattamento avere tutte le informazioni necessarie dal responsabile per dimostrare il rispetto degli obblighi del GDPR e vincolare il responsabile mediante il contratto ex articolo 28 dove il responsabile dovrà fornire al titolare tutte le garanzie sufficienti a dimostrazione del fatto che si è tenuto conto della protezione dei dati sin dallo sviluppo e/o dalla progettazione del prodotto, del servizio o dell’applicazione.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr