Accountability, Privacy by Design & Privacy by Default

Prima di cominciare con la spiegazione effettiva, consentiteci di porre una piccola premessa legale che servirà da base del ragionamento: gli articoli 24 e 25 del Reg. (UE) 679/2016


Articolo 24Responsabilità del titolare del trattamento (C74-C78)

1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.

2. Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento.

3. L’adesione ai codici di condotta di cui all’articolo 40 o a un meccanismo di certificazione di cui all’articolo 42 può essere

Articolo 25Protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita (C75-C78)

1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.

2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.

3. Un meccanismo di certificazione approvato ai sensi dell’articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.


Come si può leggere dall’articolo sopra riportato, dunque, il GDPR prescrive la protezione dei dati personali fin dalla progettazione e quale impostazione predefinita. Cosa vuol dire quest’affermazione sul piano operativo? Per risolvere la questione è necessario suddividere la problematica in due orizzonti distinti:

  • La questione posta verso l’esterno;
  • La questione posta verso l’interno.

Perché questa distinzione preliminare? Prendiamo due casi pratici: nel primo, andremo ad osservare come rispettare la normativa verso l’esterno mediante l’esempio dell’adozione di un nuovo prodotto; nel secondo, invece, andremo ad osservare il comune caso della realizzazione del proprio sito web.

Prima fattispecie: l’acquisto di un nuovo prodotto

Stiamo per acquistare questo fantomatico prodotto, potrebbe essere un software come il cambio di un fornitore, poco cambia. Prendiamo, per comodità, l’acquisto di un nuovo software. Chi utilizzerà questo software? Noi, il Titolare del trattamento effettuato mediante quel particolare software. Ci viene dunque imposta la responsabilizzazione (art. 24, Responsabilità del titolare del trattamento o accountability): questo vuol dire, in questa fattispecie specifica, essere a conoscenza e porre rimedio (art. 25, Privacy by Design) di eventuali problematiche di sicurezza, dunque strutturare in maniera sicura, lo steso software e, nel contempo, che nel successivo utilizzo dovremmo minimizzare i dati trattati (art. 25, Privacy by Default).

Come si potrebbe mettere in atto un simile onere? Innanzitutto, si impone necessario capire in che modo sia sbilanciato il potere contrattuale ovverosia è necessario capire se siamo in grado di imporre qualche onere al fornitore o se, invece, dovremo sottostare ai suoi dettami. In secondo luogo, dopo aver dipanato questo primo punto dolente, dovremo contrattare la validazione della sicurezza del software. Cosa vuol dire quest’affermazione? Semplice, per rispondere sufficientemente al principio d’accountability (art. 24) e al principio di Privacy by Design dovremo capire e farci rilasciare un’attestazione di quali siano le vulnerabilità del codice sorgente (un esempio pratico è la validazione vs STRIDE ovverosia un’attestazione del fornitore con la quale questi attesti che, con le conoscenze in ambito di vulnerabilità informatica al momento disponibili, il software sia sicuro contro queste conoscenze. Per informazione su che cosa sia lo STRIDE coniato da Microsoft vedere qui, slide n. 8).

Oltre a quest’aspetto della sicurezza informatica, inoltre, dovremo capire quali siano i dati strettamente necessari ai trattamenti di dati che andremo ad effettuare e, possibilmente, ridurre l’acquisizione dei dati agli stessi.
Ovviamente, è più facile a dirsi che a farsi: la soluzione migliore è rivolgersi a più fornitori per capire se ciò che è possibile ottenere sia effettivamente sufficiente ai requisiti in materia di protezione dei dati personali.

Seconda fattispecie: realizzazione del proprio sito web

La seconda casistica, probabilmente più familiare, pone il caso della realizzazione del Vostro nuovo sito web. Anche in questo caso, dopo aver applicato la scelta del web designer secondo la prima fattispecie sopra descritta, impone di dover identificare fin dalla progettazione a tavolino, quella concettuale e logica, dunque, quali siano gli obiettivi del servizio che si intende porre in essere, quali cookies, per esempio, si vogliono porre in essere, come strutturare il database back-end (ciò è evidente, in particolare, nel caso di un e-commerce o di funzioni di ricerca che presuppongono, di conseguenza, la presenza di un’interrogazione di un database), etc. Prendiamo il caso in cui il sito non sia esclusivamente un sito vetrina ma vi sia una funzione di ricerca interna che consenta di venir incontro all’utenza rispondendo alla sua esplicita necessità. Giusto per fare un esempio veloce, pensiamo ad un’agenzia immobiliare che vuole dare la possibilità di cercare all’interno del proprio database una casa in funzione della posizione, del numero di case, etc., e che, magari, possieda anche una parte riservata, la c.d. area riservata, in cui è possibile salvare le proprie ricerche. Ora, come strutturare il sito web secondo i dettami del GDPR? Beh, in primo luogo sarà necessario effettuare una valutazione strategica e del bacino previsto d’utenza e della portata del sito stesso ovverosia di dove pubblicizzarlo, con quale badget, etc. In secondo luogo, sarà necessario effettuare, quantomeno, un test di c.d. SQL injection (Wikipedia ci viene in aiuto) per capire cosa sia possibile ottenere dal server mediante questa tecnica comune.
Questo test, per una piccola realtà, quindi senza troppe disponibilità economiche, potrebbe essere una buona soluzione di compromesso tra sicurezza informatica, data protection e investimento economico. Ovviamente, nulla vieta di porre in essere delle valutazioni più incisive e specifiche, magari effettuando un test di penetrazione tout court, un c.d. black box, ma ciò dipende, soprattutto, dalla disponibilità finanziaria.

Cosa emerge, dunque, da questa breve spiegazione? Beh, sostanzialmente esattamente quello che è enunciato all’art. 24, par. 1: le misure tecniche ed organizzative adeguate. Adeguatezza, dunque, sia ai trattamenti che verranno messi in atto (o che lo sono già) che alla disponibilità economica del Titolare del Trattamento.

Privacy: un costo? Certamente, la strutturazione di un servizio GDPR compliance risulta evidentemente più costosa ma da anche la possibilità d’implementare la propria infrastruttura.

Anzi, è proprio questo lo spirito della normativa!