In data 20 ottobre 2020, il Comitato europeo per la protezione dei dati ha emanato le Linee guida sull’articolo 25 del Regolamento (UE) 679/2016^[1], aventi dunque ad oggetto i principi di privacy by design e by default. 

Si tratta di un documento non vincolante il cui duplice fine ambisce, da un lato, a chiarire in via definitiva la portata della norma di specie, dall’altro a fornire a tutti i titolari del trattamento una valida guida su come implementare e garantire il rispetto della protezione dei dati fin dalla progettazione e per impostazione predefinita. Il loro approccio si rileva estremamente analitico, fornendo una spiegazione «word by word» di ogni termine contenuto nell’articolo 25 e prospettando esempi pratici sugli elementi chiave della DPbDD^[2]. 

Si suddividono in quattro parti principali, la prima delle quali si dedica alla spiegazione dei concetti di privacy by design eby default, nonché degli altri termini contenuti all’interno dell’art. 25 del Regolamento. Segue poi una seconda sezione, dedicata ai principi generali che devono essere rispettati dai titolari del trattamento: le Linee Guida seguono in questa sede uno schema tripartito che in primo luogo enuncia la portata del singolo principio (ad esempio, rispondendo alla domanda “che cosa significa trasparenza”), successivamente elenca una serie di elementi chiave attraverso cui lo stesso si esplica (chiarezza, accessibilità, rilevanza…) ed infine fornisce degli esempi pratici – fittizi – per agevolarne la comprensibilità. Una breve terza parte si concentra poi sulle modalità attuative dei principi in questione e sulle conseguenze di eventuali violazioni degli obblighi di cui all’art. 25 GDPR. Segue infine una quarta sezione conclusiva, contenente alcune raccomandazioni per i titolari del trattamento. 

Prima di addentrarsi nell’approfondimento della disposizione normativa, le Linee Guida sottolineano la complementarità dei concetti di privacy by design e by default: gli interessati godranno del rispetto del secondo se il primo viene correttamente implementato e viceversa. Inoltre, è interessante notare come il Comitato europeo estenda i limiti dell’ambito soggettivo dell’art. 25 GDPR: i principi DPbDD si rivolgono non solo ad ogni titolare del trattamento dei dati (indipendentemente dalle dimensioni della sua azienda o dalla particolare natura del trattamento), ma anche ad ulteriori attori diversi dal titolare stesso, quali i responsabili del trattamento nonché i produttori di servizi e applicazioni impiegati durante il trattamento. Questi ultimi, anche se non specificatamente menzionati dall’art. 25 GDPR, possono infatti utilizzare le Linee Guida come una traccia da seguire per creare prodotti o fornire servizi in linea con i contenuti del Regolamento, permettendo così ai titolari di adempiere ai loro obblighi di protezione dei dati personali.

Venendo dunque all’analisi del concetto di privacy by design, l’art. 25 comma 1 GDPR stabilisce che “[…] sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e ad integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”. Fondamentale è dunque l’aspetto temporale, su cui si basa appunto il concetto di protezione dei dati fin dalla progettazione: con questa espressione ci si riferisce ad un momento antecedente l’inizio del trattamento, ossia quando il titolare deve decidere come verrà condotto il trattamento, nonché i meccanismi che verranno utilizzati per condurlo. È proprio nel prendere tale decisone che il titolare deve valutare l’appropriatezza delle misure e delle garanzie che verranno messe in atto durante il trattamento per far sì che i principi e i diritti degli interessati vengano rispettati e garantiti in maniera effettiva. In aggiunta, una volta iniziato il trattamento, in capo al titolare permane un obbligo continuativo di garantire l’effettiva implementazione dei principi DPbDD, che devono essere perennemente al passo con lo stato dell’arte^[3]. Ovviamente la natura, lo scopo e il contesto così come il livello dei rischi possono variare durante il corso del trattamento: per questo, è importante che il titolare sottoponga le operazioni del trattamento a revisioni periodiche ed a verifiche continue dell’effettività delle misure e garanzie prescelte.

Il concetto di privacy by default è invece enunciato al secondo comma della norma di specie: “Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate a garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento”. Con il termine «per impostazione predefinita» – nell’ambito del trattamento dei dati personali – ci si riferisce dunque alle scelte relative ai valori di configurazione o alle opzioni di elaborazione impostate o prescritte in un sistema di elaborazione^[4]. Il dettato normativo obbliga il titolare a scegliere di implementare le impostazioni predefinite in modo tale che solo il trattamento strettamente necessario per raggiungere lo scopo specifico – e legittimo – venga effettuato mediante un’impostazione predefinita. Il principio di minimizzazione^[5] prevede infatti che vengano trattati solo i dati personali adeguati, pertinenti e limitati a quanto necessario allo scopo specifico. Di conseguenza, il titolare del trattamento deve predeterminare le caratteristiche ed i parametri dei sistemi di elaborazione consentiti. In tale contesto, il principio si applica non solo alla quantità di dati personali raccolti, bensì anche alla portata del trattamento, al periodo di conservazione dei dati ed all’accessibilità degli stessi.

I titolari del trattamento dispongono di vari mezzi per dimostrare di aver adempiuto agli obblighi del Regolamento: il terzo comma dell’art. 25 ne fornisce un esempio, prevedendo che “un meccanismo di certificazione approvato ai sensi dell’articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo”. Dunque, quando un trattamento è stato certificato ex art. 42, le autorità possono utilizzare tale certificazione nella loro valutazione sulla conformità generale al Regolamento. Tuttavia, il possesso della certificazione ex art. 42 non dispensa il titolare dal suo obbligo continuativo di monitorare e migliorare la conformità ai criteri DPbDD dell’articolo 25 durante l’intero corso del trattamento.

Ovviamente, le Linee guida aggiungono che le autorità di controllo possono verificare la conformità agli obblighi di cui all’art. 25 secondo le procedure previste dall’art. 58 del Regolamento^[6].

Infine, il Comitato europeo conclude il suo intervento con una serie di raccomandazione ai titolari, tra cui alcune più specifiche, come un coinvolgimento attivo del DPO nell’implementazione dei principi di privacy by design e by dafault, ed altre più generali, come la necessità di un approccio armonizzato per incoraggiare le associazioni e gli organismi che redigono codici di condotta in conformità con l’articolo 40 del Regolamento ad incorporare anche orientamenti settoriali su DPbDD^[7].

 

^[1] Linee guida 4/2019 sull’articolo 25 “Protezione dei dati fin dalla progettazione e per impostazione predefinita” del Comitato europeo per la protezione dei dati, Versione 2.0, adottata in data 20 ottobre 2020. Il pdf delle Linee guida è disponibile nella versione inglese sul sito: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-42019-article-25-data-protection-design-and_it accesso in data 19/11/2020. Di seguito “le Linee guida”.

^[2] Acronimo inglese per “Data Protection by Design and Default”, con cui il Comitato europeo nelle Linee Guida si riferisce brevemente ai principi di protezione dei dati personali fin dalla progettazione e per impostazione predefinita.

^[3] “Nel contesto dell’articolo 23, il riferimento allo stato dell’arte impone sui titolari un obbligo, nel determinare le misure tecniche e organizzative appropriate, di prendere in considerazione il progresso tecnologico attuale disponibile sul mercato”. Traduzione italiana del paragrafo 19 delle Linee guida. Per ulteriori approfondimenti si vedano i paragrafi 18-22.

^[4] Linee guida, paragrafo 41.

^[5] Per approfondimenti, Linee guida, paragrafi 48-50; 73-76.

^[6] L’art. 58 del Regolamento elenca i poteri ispettivi, correttivi nonché autorizzativi e consultivi delle autorità di controllo. Con particolare riferimento ai poteri correttivi ex art. 58(2) del Regolamento, le Linee Guida specificano che questi includono diffide, richiami, ordini di rispettare i diritti degli interessati, limitazioni o divieti di trattamento, sanzioni amministrative, …

^[7] Per le ulteriori raccomandazioni, si vedano i paragrafi 94-96 delle Linee Guida.