Come la tecnologia interviene a tutela della riservatezza. La privacy by design può essere definita la nuova dimensione della privacy
Un problema spesso sottolineato quando si affronta la tematica del rapporto tra tecnologia e regolamentazione è la lentezza della legge, nel senso che l’innovazione tecnologica è molto più rapida del legislatore che interviene con notevole ritardo a regolare l’introduzione di determinati prodotti o servizi di alto contenuto tecnologico (si pensi ad esempio ai droni). Proprio per superare, almeno in parte, tale difficoltà, nel campo specifico della privacy sarebbe opportuno affrontare e risolvere sin dall’inizio qualsiasi problematica nel rispetto del principio della privacy by design. Tale principio richiede che la tutela dei diritti e delle libertà degli interessati con riguardo al trattamento dei dati personali comporti l’attuazione di adeguate misure tecniche e organizzative al momento sia della progettazione sia dell’esecuzione del trattamento stesso, onde garantire il rispetto delle disposizioni del Regolamento UE 2016/679 (art. 25).
Al fine di garantire e dimostrare la conformità con il Regolamento, il titolare del trattamento deve adottare politiche interne e attuare misure adeguate, che soddisfino in particolare i principi della privacy by design e della privacy by default. Il principio della privacy by design prevede che la protezione dei dati sia integrata nell’intero ciclo di vita della tecnologia, dalla primissima fase di progettazione fino alla sua ultima distribuzione, all’utilizzo e all’eliminazione finale. Il principio della privacy by default prevede che le impostazioni di tutela della vita privata relative ai servizi e prodotti rispettino i principi generali della protezione dei dati, quali la minimizzazione dei dati e la limitazione delle finalità.
In considerazione di tali principi, il Regolamento comunitario prevede che al momento di determinare le finalità e i mezzi del trattamento e all’atto del trattamento stesso, il titolare del trattamento, tenuto conto dell’evoluzione tecnica e dei costi di attuazione, deve mettere in atto adeguate misure e procedure tecniche e organizzative in modo tale che il trattamento sia conforme al Regolamento e assicuri la tutela dei diritti dell’interessato. In particolare, se all’interessato è lasciata facoltà di scelta relativamente al trattamento dei dati personali, il titolare del trattamento garantisce che siano trattati, di default, solo i dati personali necessari per ciascuna finalità specifica del trattamento e che, in particolare, la quantità dei dati raccolti e la durata della loro conservazione non vadano oltre il minimo necessario per le finalità perseguite. In particolare, detti meccanismi garantiscono che, di default, non siano resi accessibili dati personali a un numero indefinito di persone e che gli interessati siano in grado di controllare la distribuzione dei propri dati personali.
Anche gli incaricati del trattamento e i produttori devono attuare le misure e le procedure tecniche e operative adeguate per garantire che i loro servizi e prodotti consentano ai responsabili del trattamento, di default, di conformarsi al Regolamento. La privacy by design può, quindi, essere definita la nuova dimensione della privacy che trae le sue origini dall’innovazione tecnologica e dal progresso delle comunicazioni elettroniche.
Per saperne di più, l’appuntamento è a Omat Forum, il workshop dedicato alle nuove frontiere della gestione delle informazioni digitali. Per le informazioni sulle prossime tappe: www.omatforum.it.
MICHELE IASELLI
Avvocato, funzionario del ministero della Difesa. Docente a contratto di Logica e Informatica giuridica all’Università degli Studi di Napoli Federico II e docente a contratto di Informatica giuridica alla LUISS.