Privacy by Design e Privacy by Default sono due principi chiave per garantire la protezione dei dati personali. L’approccio di Privacy by Design sottolinea la necessità di gestire correttamente i dati a partire dall’avvio dei progetti e non in un secondo momento o una volta conclusi.
Il GDPR ha introdotto una nuova attenzione sui rischi connessi alla privacy soprattutto rispetto all’uso delle nuove tecnologie. Le nuove norme puntano sulla consapevolezza da parte di entrambe le parti coinvolte: gli interessati devono poter esercitare i propri diritti in merito all’utilizzo dei dati personali, che devono essere trattati secondo i principi di leicità e trasparenza; i titolari devono essere responsabilizzati (principio di accountability) sulla corretta gestione dei dati richiesti/archiviati/trattati e sugli eventuali rischi connessi alla diffusione degli stessi.
Cosa deve fare il titolare del trattamento dei dati?
Il titolare del trattamento, proprio in base al principio della Privacy by design, deve:
- pensare alla gestione della privacy in via preventiva rispetto ai progetti e alle attività previste
- minimizzare la raccolta dei dati in modo da non richiedere e non memorizzare dati ridondanti e inutili
- minimizzare il tempo di conservazione dei dati
- redigere un’informativa della privacy chiara che espliciti le diverse finalità del trattamento
- prevedere sistemi di revoca del consenso che consentano agli interessati di poter esercitare i propri diritti
Privacy by Design: l’integrazione della Privacy dalla fase iniziale
La Privacy by Design è un approccio proattivo alla protezione dei dati personali, che prevede l’integrazione delle misure di sicurezza e della tutela della privacy fin dalla fase iniziale di progettazione di un sistema, di un’applicazione o di un servizio in modo che sia parte intrinseca del processo di sviluppo.
Privacy by Default
La Privacy by Default è un ulteriore concetto stabilito dal GDPR che si basa sull’idea di garantire, per impostazione predefinita, il trattamento del minor quantitativo di dati, per il tempo strettamente necessario a perseguire le finalità esplicitate e gli obblighi a norma di legge.
Minimizzare la raccolta e il tempo di conservazioni e massimizzare la protezione dei dati personali dovrebbe essere la situazione predefinita in ogni sistema, applicazione o servizio in modo che gli utenti siano automaticamente protetti, senza la necessità di effettuare azioni aggiuntive.
Privacy by Design e Privacy by Default si basano sul principio cardine della trasparenza che consiste nel fornire agli utenti informazioni chiare e comprensibili riguardo alla raccolta, all’utilizzo e alla condivisione dei dati personali. L’obiettivo principale è garantire agli utenti un controllo totale e una comprensione completa delle pratiche di trattamento che li coinvolgono.
Va infine ricordato come il GDPR abbia introdotto non solo nuove sensibilità e priorità rispetto alla tutela della Privacy, ma anche specifiche sanzioni per chi non si attiva per rispettare la normativa. Le sanzioni amministrative legate alla privacy possono arrivare fino a 20 milioni di euro per i professionisti e le piccole aziende e fino al 4 per cento del fatturato per le imprese più grandi.