L’opinion del Garante Europeo sul principio della Privacy By Design e Privacy By Default

Avv. Vincenzo Colarocco

Il Garante Europeo per la protezione dei dati personali lo scorso 31 maggio ha emesso una opinion sul principio del principio della privacy by design e privacy by default.

Il motivo di tale intervento è chiaro: il Garante vuole fornire uno strumento per superare le difficoltà di tradurre principi giuridici in precetti attuabili.

Infatti, l’EDPS rileva come in passato si sia sempre creato un divario tra “la disciplina di conformità legale gestita da avvocati da un lato e il processo di innovazione dinamico guidato da manager e ingegneri aziendali dall’altro”, ove questi ultimi sono i responsabili della progettazione e della implementazione dei processi e sistemi che trattano dati personali.

In tale contesto, il principio della privacy by design, lungi dall’esaurirsi in una mera petizione di principio, rappresenta la chiave di volta per tutelare i dati personali qualunque sia lo sviluppo tecnologico futuro, ponendosi al riparo dai rischi di rapida obsolescenza cui sono soggette le norme che intervengono in questo settore.

Il parere, anzitutto, ricorda l’ideatrice di tale principio, Ann Cavoukian, commissario per l’informazione e la privacy ad Ontario, Canada. Mrs Cavoukian declinava la privacy by design in ulteriori sotto-principi, fra i quali la privacy by default, che, quindi, nasce come “corollario” del primo.

La privacy by design, ricorda il Garante, non rappresenta una novità nel panorama europeo, perché già diverse direttive (nello specifico, la 2002/58/CE, la 2014/53/UE e la 1995/46/CE) avevano ampiamente tradotto e recepito tale previsione all’interno dei propri testi normativi.

Tuttavia, mentre i predetti principi trovavano terreno fertile e di sviluppo concettuale in ambito legale, “il settore tecnologico – ad avviso del Garante – è ben lontano dal dispiegare tutto il suo potenziale per la protezione dei diritti fondamentali degli individui”.

Ecco perché fornisce alcune aree di intervento in cui il settore tecnologico dovrà impegnarsi al fine di garantire una migliore aderenza al predetto principio. In particolare:

  • secondo la prima dimensione, ogni attività di trattamento dati che preveda il supporto IT dovrà essere frutto di un progetto di design;
  • secondo la seconda dimensione, ogni attività di trattamento dati dovrà essere effettuata secondo il risk based approach, al fine di identificare e gestire il rischio di lesione dei diritti e delle libertà fondamentali degli individui;
  • secondo la terza dimensione, le misure individuate con il risk based approach dovranno poi essere adeguate ed efficaci;
  • infine, secondo la quarta dimensione, le garanzie identificate dovranno essere tra di loro integrate.