Privacy by design e by default: differenze e significato

privacy by design e by default

Sono certo che avrai già letto da qualche parte, magari navigando online, dei lemmi alquanto strani come: privacy by design e by default, titolare del trattamento, responsabile del trattamento o addirittura pseudonimizzazione.

Posso comprendere benissimo la faccia stranita che avrai avuto nel momento in cui i tuoi occhi si sono poggiati sopra alle parole suddette. Queste tematiche sono tanto importanti quanto difficili da digerire.

Io sono Oreste Maria Petrillo, un avvocato contrattualista specializzato nella redazione, revisione e negoziazione di contratti, oltre che esperto in consulenza privacy e GDPR.

Questo articolo ti spiega cos’é e come funziona la privacy nell’era del digitale e quanto sia importante tutelare, ad oggi, i dati di ogni singolo utente.

Seguimi, ti aiuterò a comprendere cosa dice la legge in modo semplice e chiaro.

Indice dei contenuti

Cosa dice il GDPR per privacy by design e by default

Privacy by design e by default sono due argomenti trattati ampiamente nel GDPR (General Data Protection Regulation).

Lo stesso GDPR, tramite l’art. 25, obbliga il Titolare e il Responsabile del trattamento ad adottare delle contromisure adeguate a tutelare i dati personali, prima ancora che abbia origine il trattamento degli stessi.

Ma cosa significa tutto ciò?

Prima ancora che una prestazione, un servizio o un qualsiasi prodotto possa essere commercializzato, l’azienda, l’ente o la persona fisica che ha ideato il prodotto stesso deve garantire la piena tutela dei dati dell’utente finale che usufruirà di quel prodotto.

privacy by design e by default differenza

Titolare e Responsabile del trattamento: cosa sono?

In ambito di privacy e trasparenza entrano in gioco delle figure che, per legge, sono autorizzate al trattamento e alla salvaguardia dei dati personali.

Esse infatti decidono le modalità con le quali i dati di ogni singolo utente vengono trattati nel momento in cui quest’ultimo usufruisce di un determinato servizio o prodotto.

Il tutto seguendo le linee guida fondamentali fornite dal GDPR. Queste figure sono:

  • Il Titolare del Trattamento: persona fisica o giuridica, pubblica amministrazione o ente, associazione od organismo che cura le modalità e le finalità del trattamento dei dati personali;
  • Il Responsabile del Trattamento: è la persona fisica o giuridica, pubblica amministrazione, ente oppure organismo che elabora i dati personali per conto del Titolare del Trattamento, seguendo le istruzioni dello stesso.

Ora che conosci la differenza tra queste due figure, che puoi trovare scritte ad esempio all’interno dei cookies che appaiono online, saprai esattamente chi e come sta utilizzando i tuoi dati in rete.

Privacy by design: significato

La privacy by design si applica ad ogni tipologia di strumento, prodotto o servizio che includa il trattamento di dati personali per essere utilizzato o acquistato. Tale prodotto deve prevedere, fin dalle prime fasi di progettazione (by design per l’appunto), la corretta fruizione, secondo le norme, dei dati personali dell’utente.

Ma quale applicazione trova per l’appunto la privacy by design nel concreto?

Ecco alcuni esempi:

  • Minimizzazione dei dati – un’applicazione che permette agli utenti di iscriversi/accedere senza richiedere più informazioni del necessario limitandosi a chiedere un’email per l’autenticazione;
  • Crittografia end-to-end – una piattaforma di messaggistica che implementa la crittografia end-to-end (come WhatsApp o Signal) garantisce che solo i destinatari possano leggere i messaggi. I dati inviati non possono essere decrittati nemmeno dai gestori del servizio;
  • Gestione granulare dei consensi – un sito web che richiede il consenso per raccogliere dati personali, ma consente all’utente di scegliere in modo granulare quali dati condividere e per quali finalità.

In tutti questi casi, la piattaforma, l’abbonamento o il sito interessato all’utilizzo dei dati personali, deve prevedere, sin dalla sua creazione, le modalità con cui vengono trattati gli stessi per garantire un eccellente mantenimento della privacy.

7 principi di privacy by design

Il concetto di privacy by design potrebbe sembrare un tema molto attuale, sorto con impellenza negli ultimi 5 o 6 anni. Tuttavia, la prima volta che si è parlato di privacy, relativamente al mondo del digitale, è stato nel 2010.

Durante la 32° Conferenza mondiale dei Garanti Privacy viene adottato per la prima volta questo concetto, che si fonda su ben 7 principi fondamentali.

I principi fondamentali su cui si fonda la privacy by design sono:

  1. Proattivi non Reattivi, Preventivi non Correttivi – lo scopo della Privacy by Design non è quello di correggere i problemi una volta che si siano manifestati, bensì deve riuscire a prevenirli;
  2. Privacy by Default – ovvero che la privacy sia garantita per impostazione predefinita. Non deve essere una priorità facoltativa ma obbligatoria;
  3. Privacy inclusa nella Progettazione – la Privacy deve essere parte integrante di ogni progetto sin dalle sue origini (si ritorna per l’appunto al concetto del by design);
  4. Funzionalità Completa – Approccio Win-Win – l’obiettivo è quello di realizzare un buon prodotto che abbia tutti gli strumenti necessari per garantire pienamente la privacy dell’utente;
  5. Sicurezza a tutti gli stadi del processo – tutti gli elementi di un processo, prodotto o servizio devono garantire misure di sicurezza a tutela dei dati personali;
  6. Visibilità e Trasparenza – tutti gli elementi di un processo, prodotto o servizio devono essere visibili e trasparenti;
  7. Rispetto della Privacy dell’Utente – tutti i prodotti o servizi che includono il trattamento e la gestione di dati personali devono garantire misure di protezione in base agli standard regolati dal GDPR.

Privacy by default: significato

La privacy by default si pone, in parole semplici, come lo strumento che tutela la raccolta e la fruizione dei dati dell’utente.

È esattamente il mezzo che tutela l’utente e che riferisce al Titolare del Trattamento quali, quanti e per quanto tempo utilizzare i dati che ottiene grazie alla profilazione dell’utente.

Ma quali possono essere degli esempi di privacy by default?

Eccone alcuni:

  • Impostazioni di condivisione sui social media – una piattaforma di social media imposta, di default, la visibilità dei post e delle informazioni personali al livello più restrittivo. Sarà l’utente stesso a dover modificare queste impostazioni se vuole condividere più dati con gli altri utenti;
  • Disabilitazione automatica della geolocalizzazione – un’app di mappe o di servizi basati sulla posizione, di default, non raccoglie o traccia la posizione geografica dell’utente finché non viene abilitata esplicitamente;
  • Conservazione dei dati temporanea – un servizio cloud per il backup delle foto imposta, di default, la cancellazione automatica delle immagini dal server dopo un certo periodo di tempo (ad esempio 30 giorni), se l’utente non specifica diversamente.

Principio di privacy by default

Come per la privacy by design, anche quella by default si fonda su un principio fondamentale, ovvero: la non eccessività dei dati raccolti.

Questo per concedere ai titolari di un prodotto o un servizio di utilizzare i dati personali strettamente necessari per garantire la sicurezza dell’utente.

Differenza tra privacy by design e by default

Ora che hai visto il significato di privacy by design e privacy by default, le loro applicazioni e soprattutto come vengono regolati dalla legge, sono certo ti sorgerà un piccolo dubbio.

Ma che differenza c’é tra l’una e l’altra?

Sebbene facciano parte dello stesso processo e hanno la medesima finalità (ovvero garantire la privacy dell’utente) differiscono l’una dall’altra per un semplice aspetto.

La privacy by design stabilisce che la tutela dei dati deve avvenire prima ancora che il prodotto o il servizio sia accessibile all’utente finale. Questo al fine di prevenire qualsiasi azione incongruente che possa contrastare le regole del GDPR.

La privacy by default si riferisce invece alla necessità di proteggere l’utente finale, fruitore del prodotto o servizio, di default. Questo strumento infatti agisce sul principio di minimizzazione, che richiede di considerare, giustificare e stabilire quali dati siano necessari per il trattamento.

Valutazione del rischio

La valutazione del rischio, che deve essere realizzata ogni qualvolta ci sia la necessità di trattare dati personali, è una prassi che ogni Titolare del Trattamento deve eseguire per decidere se sussistono o meno rischi elevati inerenti al trattamento.

Se sono presenti dei rischi effettivi per le libertà e i diritti degli interessati, lo stesso titolare dovrà individuare delle procedure atte a limitare o eliminare del tutto tali pericoli.

Concludendo

Sono certo che questo articolo ti sia servito per fare chiarezza in merito ad un argomento molto tecnico e delicato come quello della privacy by design e privaci by default.

Se hai subito un torto o hai qualsiasi dubbio e domanda in merito alla violazione dei dati personali, non esitare a contattarmi per una consulenza legale su misura.

I tuoi valori e le tue necessità sono una mia più assoluta priorità.

Contatti

È stato utile questo articolo?

Clicca sulle stelle e dimmi se ti è piaciuto!

Punteggio medio: 0 / 5. Numero di voti: 0

Non ci sono voti, inizia tu!

Se hai trovato utile questo articolo...

Seguimi sui social!

Immagine di Oreste Maria Petrillo

Oreste Maria Petrillo

Sono l'Avv. Oreste Maria Petrillo, avvocato specializzato in Contrattualistica Digitale, e-Commerce e Compliance Aziendale per PMI, Professionisti e Start-Up. Con oltre dieci anni di esperienza nel settore legale, offro consulenza professionale per aziende e privati che operano nel mondo digitale. Il mio obiettivo è fornire soluzioni legali su misura, garantendo sicurezza e conformità in ogni ambito della vostra attività online.

Instagram Linkedin Youtube

Hai bisogno di una consulenza legale per la tua attività digitale?

Acquista ora

Ti aiuto a:

🛍️ Mettere a norma il tuo e-Commerce

🔒 Proteggere la tua attività e i tuoi dati personali

⚖️ Legalizzare il tuo marchio

📜 Tutelare la tua attività con contratti su misura

💼Ottenere una Compliance Aziendale robusta ed efficace

Condividi il post!