Privacy by Design & Privacy by Default

In un altro articolo, che trovate qui, abbiamo parlato in via teorica di quali sono le implicazioni dell’articolo 24 e dell’articolo 25 del GDPR. Oggi vorremmo sottoporvi un caso specifico.

Caso Privacy by design & privacy by default

Questa schermata, catturata da un sito che proponeva la visualizzazione di un video, presenta un format che, una volta debitamente compilato in tutti i campi contrassegnati dall’asterisco, consentirà l’accesso alla visione del video. Nulla di sbagliato: giustamente l’azienda vuole avere statistiche ed acquisire dati sugli utenti. Un legittimo interesse. E tuttavia vi sono alcune problematiche privacy all’interno di questo format: riuscire ad identificarle tutte?

Andiamo con ordine. Il sito presenta due ordini di violazioni:

  • Privacy by design;
  • Privacy by default.

Perché vi chiederete?

Innanzitutto, vi è la problematica relativa ai dati richiesti: sono tutti strettamente necessari alla visualizzazione del video? È un legittimo interesse societario quello d’acquisire dati sì ma, di sapere l’indirizzo email, il numero di telefono, la società e la città che bisogno c’è? Questa è una violazione della privacy by default: nulla vieta di chiedere questi dati (forniti di spontanea volontà dall’utente) ma non è possibile inserirli quali campi necessari.

In secondo luogo, vi è il problema di privacy by design: il flag sottostante è ‘pre-flaggato’. Questo trattamento di dati personali, non strettamente necessario all’espletamento della sola visualizzazione del sito web, rappresenta un trattamento ulteriore e, come tale, non è necessario. Dunque, si ricorre nelle modalità della liceità del trattamento sancite ex art. 6, GDPR (che trovate qui). Qual è la scala di preferenzialità stabilita in quest’articolo? Andiamo a leggerlo insieme:

Articolo 6

Liceità del trattamento

  1. Il Trattamento è lecito solo se e nella misura in cui incorre almeno una delle seguenti condizioni:
    • a) L’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità; (C42, C43);
    • b) Il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
    • c) Il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento; (C45)
    • d) Il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica; (C46)
    • e) Il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento; (C45, C46)
    • f) Il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore. (C47-C50)
    • La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti.

Ora, la realtà che propone questo format non è un’autorità pubblica nel mentre dello svolgimento dei propri compiti. Non si rientra in quanto, al momento, è stabilito quale legittimo interesse del titolare del trattamento (In particolare, sulla questione invitiamo a leggere il Considerando 47 del GDPR nel quale si esplica la problematica del legittimo interesse). Non siamo nell’ambito della salvaguardia degli interessi vitali, in una fattispecie di assolvimento di un obbligo legale e non siamo parte di un contratto (o misure precontrattuali). La base di liceità del trattamento resta solo il consenso (esplicito, libero, informato ed inequivocabile. Cfr. Artt. 4 e 7, GDPR).

Abbiamo correttamente identificato la base di liceità del trattamento, ricapitoliamo i punti salienti:

  • Base di liceità: consenso dell’interessato;
  • Consenso pre-flaggato: violazione ex art. 25, GDPR del principio di Privacy by Default;
  • Dati richiesti necessariamente per il trattamento eccedenti le finalità: violazione ex art. 25, GDPR del principio di Privacy by Design