25 Lug Parere del GEPD n. 5/2018 – Parere preliminare sulla privacy by design

Background

Il 31 maggio 2018 il Garante europeo della protezione dei dati (di seguito, il “GEPD”), con l’obiettivo di chiarire le misure che devono essere adottate per conseguire un approccio “privacy by design”, comprendente la protezione dei dati fin dalla progettazione e la protezione per impostazione predefinita di cui all’articolo 25 del Regolamento generale sulla protezione dei dati (di seguito: il “RGPD”), ha pubblicato un “Parere preliminare sulla privacy by design” (di seguito: il “Parere”).

Questioni principali

Ai sensi dell’articolo 25 del RGPD, il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate, sia in fase di progettazione sia all’atto del trattamento stesso, al fine di implementare in maniera effettiva le misure di salvaguardia dei dati necessarie per conformarsi al RGPD (“protezione dei dati fin dalla progettazione”); inoltre, i dati personali devono essere trattati solo ove ciò sia necessario per una finalità specifica (“protezione dei dati per impostazione predefinita”). Il Parere fornisce importanti indicazioni sulle implicazioni operative di questa disposizione, chiarendo inoltre, al contempo, la relazione intercorrente tra l’articolo 25 e altri importanti principi posti dal RGPD, quali la minimizzazione dei dati e l’approccio basato sul rischio.

In primo luogo, il Parere analizza il contenuto dell’obbligo di protezione dei dati fin dalla progettazione, enucleandone quattro dimensioni:

1. ogni trattamento di dati personali eseguito, in tutto o in parte, con l’ausilio di sistemi informatici dovrebbe essere il risultato di un’attenta progettazione, in cui le garanzie per i diritti degli interessati dovrebbero essere prese in considerazione sia in fase di progettazione, sia nel corso della fase operativa;
2. non essendo presenti indicazioni relative alle misure di sicurezza obbligatorie nel RGPD, le aziende dovrebbero adottare un approccio basato sul rischio, al fine di selezionare e mettere in pratica le misure concretamente necessarie per conseguire un livello di protezione effettivo. A tale riguardo, ciascuna organizzazione è responsabile della scelta delle garanzie da attuare, bilanciando il costo delle misure disponibili (lo “stato dell’arte”) con i rischi per i diritti e le libertà delle persone che sono stati così identificati. In ogni caso, considerazioni relative al costo non possono mai portare a una protezione insufficiente per le persone fisiche;
3. le misure individuate devono essere adeguate ed efficaci. Questo requisito deve essere verificato alla luce dello scopo di queste misure, che è quello di mettere in pratica i principi di protezione dei dati personali stabiliti dal RGPD (ad esempio il principio di trasparenza, i diritti soggettivi delle persone interessate, la minimizzazione dei dati);
4. le misure così individuate devono essere integrate all’interno del trattamento stesso, e non consistere in misure meramente “esterne” (come le informative sulla privacy).

In altre parole, la protezione dei dati fin dalla progettazione richiede che la protezione dei diritti e delle libertà fondamentali degli individui diventi uno degli obiettivi stessi dell’azienda, piuttosto che un problema secondario o successivo all’implementazione di un nuovo trattamento. La protezione dei dati dovrebbe essere incorporata nella struttura organizzativa e gestionale, assieme ad un’allocazione onnicomprensiva e coerente dei relativi ruoli e responsabilità all’interno dell’azienda.

Il Parere esplora poi brevemente la portata del principio della protezione dei dati per impostazione predefinita. Una volta applicato il principio della protezione dei dati fin dalla progettazione, l’azienda deve trattare soltanto i dati personali necessari per gli scopi specifici (e legittimi) che sono stati previamente individuati. La protezione dei dati per impostazione predefinita è, pertanto, strettamente correlata al principio di limitazione della finalità e di minimizzazione dei dati. In relazione a questi principi, la protezione dei dati per impostazione predefinita sottolinea l’importanza dell’attuazione di misure tecnologiche dirette a garantire tali obiettivi, ad esempio prevenendo, mediante una corretta progettazione delle impostazioni di un’applicazione, ogni possibilità di ulteriori trattamenti “predefiniti” dei dati.

Il Parere fornisce poi diversi esempi di esistenti metodologie di ingegneria della privacy che possono essere utili per le aziende nell’attuazione della protezione dei dati fin dalla progettazione e per impostazione predefinita:

• il “Rapporto sulla privacy e sulla protezione dei dati fin dalla progettazione”, pubblicato nel 2015 dall’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA), che offre una panoramica completa dello stato dell’arte in questo settore;
• i “Sei obiettivi di protezione per l’ingegneria della privacy”, che fornisce una struttura per identificare le misure di protezione per i sistemi IT che elaborano dati personali e che aggiunge, oltre alla nota triade di “sicurezza”, “integrità” e “disponibilità”, tre obiettivi aggiuntivi: “non-linkabilità”, “trasparenza” e “intervenibilità”;
• l’“Introduzione all’ingegneria della privacy e alla gestione dei rischi nei sistemi federali”, pubblicata nel 2017 dall’Istituto nazionale degli standard e della tecnologia degli Stati Uniti (US NIST), che identifica un modello di rischio privacy e tre privacy system objectives, che completano la sopramenzionata triade di obiettivi;
• la “Metodologia LINDDUN” sviluppata dall’Università di Leuven, che sottolinea in particolare gli aspetti di analisi del rischio, integrati da un elenco di strategie tecnologicamente neutrali che devono essere attuate per affrontare i rischi;
• l’individuazione di modelli per l’ingegnerizzazione di soluzioni IT atte ad applicare i requisiti di privacy. Questa metodologia trae ispirazione dallo sviluppo di software: vengono identificate strategie di progettazione per problemi relativi alla privacy comunemente ricorrenti, e tali problemi possono essere suddivisi in ulteriori strati più specifici, se necessario. Un elenco di tali modelli è disponibile su https://privacypatterns.eu.

Azioni/Implicazioni pratiche

Per soddisfare i requisiti stabiliti dall’articolo 25 in relazione alla protezione dei dati fin dalla progettazione e per impostazione predefinita, le aziende devono:

• identificare e attuare metodologie di valutazione del rischio adeguate sia con riguardo ai sistemi IT che ai processi di business;
• integrare la protezione dei dati quale supporto all’interno della gestione e organizzazione aziendale, assegnando chiaramente ruoli, risorse e responsabilità interne;
• garantire che tali metodologie e allocazioni interne rimangano aggiornate rispetto allo stato dell’arte e alla struttura reale dell’organizzazione;
• assicurarsi che la valutazione concernente i rischi delle persone interessate e l’implementazione delle relative misure di protezione dei dati siano state eseguite correttamente al momento dell’avvio di ciascun nuovo processo aziendale / IT implicante il trattamento dei dati personali;
• essere in grado di dimostrare che la protezione dei dati è stata presa in considerazione e che sono state messe in atto misure efficaci per contrastare i rischi per gli interessati, documentando i suddetti processi e adottando specifiche policy e procedure interne.