1. Contesto normativo

Il GDPR disciplina il concetto di Privacy by Design all’rt. 25 “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”. Ai sensi di tale disposizione, il Titolare del Trattamento ha il dovere di adottare misure tecniche e organizzative adeguate al fine di dare concreta attuazione alle disposizioni ed ai principi in materia di protezione dei dati (in particolare la minimizzazione), garantendo la conformità ai requisiti del regolamento ed un efficace esercizio dei diritti degli Interessati. A tale riguardo bisognerà tenere conto:

• dello stato dell’arte e costi di implementazione di ogni misura;
• della natura, contesto, ambito di applicazione e finalità del trattamento in progetto;
• dei rischi (e connessa probabilità e gravità degli stessi) che il trattamento potrebbe porre per le libertà e i diritti degli Interessati.

Il progetto (applicazione o procedura organizzativa) che prevede l’istituzione e/o la modifica sostanziale di un trattamento, avendo come punto di riferimento il principio di “Privacy by Design”, è da implementare  in modo tale da porre particolare attenzione alla gestione dell’intero ciclo di vita dei dati personali, alla raccolta e alla cancellazione degli stessi con specifico riguardo alle garanzie procedurali in merito all’esattezza, alla riservatezza, all’integrità, alla sicurezza fisica e alla cancellazione dei dati personali.

Il GDPR, divenuto applicabile dal 25 maggio 2018, pone l’obbligo per il Titolare del Trattamento di dati personali di implementare:

• le misure tecniche e organizzative idonee ad attuare in modo efficace i principi di protezione dei dati e ad adottare nel trattamento le necessarie garanzie al fine di rispettare i requisiti del GDPR nonché tutelare i diritti degli Interessati sia al momento di determinare i mezzi del trattamento, sia all’atto del trattamento stesso (principio di “Privacy by Design”);
• le misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, siano resi accessibili dati personali a un numero definito e limitato di persone fisiche (principio di “Privacy by Default”).

Il Considerando n. 78 del GDPR prevede che il Titolare del Trattamento dovrebbe adottare politiche interne nonché attuare misure che soddisfino in particolare i principi della protezione dei dati per impostazione predefinita sin dalla progettazione. Tali politiche dovrebbero concretizzarsi in specifiche misure volte a:

• ridurre al minimo il trattamento dei dati personali al fine di richiedere all’interessato esclusivamente quei dati strettamente necessari al perseguimento delle finalità individuate dal Titolare (c.d. principio di “minimizzazione”);
• adottare un periodo di conservazione dei dati e di durata del trattamento tale da garantire che i dati non vengano conservati per un periodo superiore a quello strettamente necessario al perseguimento delle finalità previste o a quello imposto da eventuali obblighi di legge prevalenti;
• pseudonimizzare i dati personali o implementare le cautele più stringenti per la protezione dei dati per ciascuno specifico trattamento;
• garantire che il trattamento dei dati personali avvenga in piena trasparenza nei confronti dell’interessato mediante la descrizione esaustiva delle finalità e dei termini del trattamento all’interno di specifiche informative;
• consentire all’interessato di controllare il trattamento dei dati anche tramite l’esercizio dei diritti attribuiti agli Interessati dal GDPR;
• consentire al Titolare del Trattamento di adottare ed implementare i presidi di sicurezza destinati alla protezione dei dati personali.

2. Caratteristiche della Privacy by Design

Di seguito si riassumono i fattori che contraddistinguono i principi di Privacy by Design e Privacy by Default.

1. Prevenire piuttosto che correggere: l’approccio alla protezione dei dati personali deve mirare ad anticipare la nascita di un problema prima che si concretizzi anziché limitarsi a reagire una volta che il problema è insorto.
2. Privacy come impostazione predefinita (o “by Default”): occorre progettare ogni sistema in modo da garantire che, per impostazione predefinita, siano trattati esclusivamente i dati personali necessari a ogni specifica finalità del trattamento. Tale principio può essere declinato riducendo la quantità di dati raccolti, la portata del trattamento, il periodo di conservazione ed il numero di soggetti che hanno accesso ai dati personali.
3. Privacy incorporata nella fase di progettazione (o “by Design”): incorporazione della protezione dei dati nella progettazione di qualsiasi sistema, servizio, prodotto e pratica aziendale. È necessario che la protezione dei dati diventi parte integrante delle funzioni di base di qualsiasi sistema o servizio.
4. Massima funzionalità in presenza di condizioni di sicurezza: realizzazione di soluzioni tecnologiche con funzionalità non limitate dai presidi di sicurezza previsti dal progetto.
5. Sicurezza fino alla fine: piena protezione del ciclo vitale del prodotto o del servizio attraverso la messa in atto di efficaci misure di sicurezza sin dalla fase di progettazione del prodotto/servizio e durante tutto il “ciclo di vita dei dati”. È necessario altresì adottare misure di elaborazione dei dati idonee, tali da prevedere la distruzione definitiva dei dati quando questi non siano più necessari o nel caso in cui si esaurisca il periodo di conservazione previsto e comunicato all’interessato.
6. Corrispondenza fra i termini dichiarati all’interno dell’informativa con le caratteristiche del progetto di trattamento: implementazione di soluzioni tecnologiche ed organizzative con funzioni che corrispondono, in modo fedele, alle informazioni fornite all’Interessato all’interno dell’informativa.
7. Centralità dell’Interessato: progettazione di soluzioni tecnologiche ed organizzative che hanno come scopo primario la protezione delle libertà e i diritti degli Interessati.    

3. Controlli per la conformità all’interno del processo di definizione/modifica di un progetto  

Il processo per la realizzazione o modifica di un progetto (processo di “demand/change”) che prevede il trattamento di dati personali, può articolarsi nelle seguenti fasi:  

3.1 Raccolta delle esigenze: il proponente si confronta con le funzioni competenti al fine di coordinare l’attività di individuazione e pianificazione delle iniziative organizzative ed informatiche (regolare rilevazione delle esigenze di servizi informatici e promozione delle opportunità tecnologiche offerte dall’evoluzione del sistema informativo). Sarà compito del proponente raccogliere e gestire le varie “esigenze” di servizi ICT avanzate dalle Funzioni competenti.

3.2 Valutazione delle esigenze: le varie esigenze raccolte dal proponente sono sottoposte al vaglio dell’Direzione, o funzione delegata, della società cui spetta il compito dell’analisi e valutazione. L’Direzione affida la realizzazione del progetto ad un Project Manager in possesso delle competenze idonee per l’esecuzione dell’iniziativa.

3.3 Definizione preliminare del nuovo progetto: nel documento di definizione preliminare di progetto, elaborato, sia per i progetti interni (sviluppati interamente all’interno dell’azienda) che per i progetti esterni (quelli commissionati ad un’organizzazione esterna), viene descritto il progetto costituito da una descrizione narrativa dei prodotti/servizi nonché delle funzionalità previste dal progetto.

3.4 Definizione dei requisiti del progetto (tra cui quelle relative alla sicurezza dei dati): prima di procedere con l’acquisizione o la realizzazione di una nuova soluzione tecnologica, il Project Manager effettua un’analisi (documentata) finalizzata alla descrizione dei requisiti del progetto, costituiti sia dalla descrizione dettagliata delle funzioni della soluzione tecnologica, sia dai presidi di sicurezza da impiegare per la protezione dei dati personali.

Il Project Manager definisce inoltre il Piano di Esecuzione necessario per la realizzazione del progetto.

L’esecuzione di questa fase consente all’azienda di minimizzare i costi di acquisizione e di realizzazione delle soluzioni e al contempo assicura che queste ultime siano in linea con l’indirizzo strategico aziendale che coinvolgono i processi di business, le applicazioni, i dati, l’infrastruttura ed i servizi.

Il Project Manager coinvolge le funzioni competenti se necessario, ed esegue una valutazione dei rischi per le libertà e i diritti degli Interessati considerando l’opportunità di adottare una o più misure di sicurezza utili alla mitigazione della probabilità di accadimento di minacce che possono colpire la riservatezza, l’integrità e la disponibilità dei dati personali trattati.

Allo scopo di verificare la conformità dei requisiti del progetto ai principi Privacy by Design / Default il Project Manager, insieme alle funzioni competenti, compila una checklist (Checklist Privacy by Design / Default) che prevede:

• Verifica dei Dati Personali: il GDPR si applica esclusivamente ai dati che consentono, direttamente o indirettamente, di identificare delle persone fisiche (dati personali). Occorre anzitutto verificare quali dei dati da raccogliere possono definirsi come “personali”, limitando la raccolta e il trattamento degli stessi esclusivamente a quelli realmente necessari alla realizzazione delle finalità perseguite;
• Verifica delle condizioni di liceità del trattamento: le condizioni di liceità includono, tra l’altro, il consenso specifico e informato dell’interessato, l’esecuzione di un contratto o lo svolgimento di trattative precontrattuali con lo stesso, la presenza di un obbligo legale cui è soggetto il Titolare del Trattamento, l’esistenza di un legittimo interesse dello stesso Titolare o di terzi in assenza di prevalenti e confliggenti interessi o diritti o libertà fondamentali dell’interessato, la salvaguardia degli interessi vitali dell’interessato. Non è possibile eseguire attività di trattamento in assenza delle condizioni di liceità previste dal GDPR;
• Determinazione del periodo di conservazione dei dati: il Referente Privacy, consultati i responsabili delle Funzioni competenti, stabilisce il periodo di conservazione dei dati in relazione alla finalità del trattamento in funzione dagli obblighi di conservazione stabiliti dalle norme vigenti (non solo in ambito privacy), considerando il principio di minimizzazione (Privacy by Default);
• Valutazione della quantità dei dati personali raccolti: il Project Manager, considerando i requisiti del progetto, comprensive delle funzioni da implementare, valuta se la quantità dei dati che saranno richiesti agli Interessati, quantità intesa come numero delle informazioni richieste, è quella minima necessaria per l’esecuzione della finalità del trattamento nonché per l’esecuzione del servizio/progetto implementato;
• Valutazione della portata del trattamento:           il Project Manager valuta se il target, inteso come numero e categoria di Interessati i cui dati personali sono oggetto di trattamento, è ragionevolmente adeguato in funzione delle finalità del trattamento, anche in base ai requisiti del progetto e/o del prodotto;
• Verifica dei privilegi di accesso al trattamento: il Project Manager, al fine di rilevare il corretto rispetto delle caratteristiche tecniche per la riservatezza, volti a limitare l’accesso esclusivamente ai Soggetti Autorizzati preposti all’esecuzione del trattamento, determina a priori gli operatori che potranno accedere ai dati o alle applicazioni che gestiscono il trattamento degli stessi;
• Verifica delle condizioni per l’esecuzione di un DPIA : se il trattamento che si intende istituire, ricade fra quelli stabiliti dal Garante, o presenta almeno 2 (due) dei fattori indicati dal WP248, il Titolare deve necessariamente condurre una DPIA. Qualora l’esito della DPIA dovesse contenere Rischi Privacy Residui elevati, ritenuti dal Titolare “non accettabili”, è prescritto dal GDPR l’interpello per la consultazione all’autorità di controllo.
• Esito Positivo Controlli Privacy by Design/Default: il Project Manager, che ha condotto i controlli Privacy by Design, provvede alla redazione di un report, corredato se necessario dell’esito della DPIA, con descrizione ed esito dei controlli eseguiti.  

3.5 Identificazione dei requisiti della fornitura: se è previsto l’impiego di un fornitore esterno sono definite le competenze che il fornitore deve garantire ed in particolare sono individuate le misure di sicurezza da adottare. Le caratteristiche definite in fase di progettazione, comprensive dei presidi di sicurezza, sono elementi utili alla definizione del servizio che il fornitore esterno dovrà erogare.

I requisiti del progetto costituiscono parte dei termini di negoziazione del contratto con il fornitore, definito ai sensi del GDPR, a seguito del perfezionamento dell’accordo, Responsabile del Trattamento.

3.6 Approvazione del progetto: il Project Manager approva e sottoscrive i requisiti del progetto nonché il Piano di Esecuzione. Il Project Manager propone la revisione del progetto per la correzione dei fattori critici emersi se necessario.

3.7 Attività preliminari all’implementazione progetto: il Project Manager conduce le operazioni preliminari per l’implementazione del progetto comprese quelle che dovranno essere implementate da fornitori esterni.

3.8 Committenza al fornitore: nel caso in cui è previsto l’impiego di un fornitore esterno viene sottoscritto un contratto adeguato per la nomina come Responsabile del Trattamento con l’indicazione dei termini necessari al trattamento dei dati personali affidati che comprende almeno gli elementi indicati al punto 4.4 della Privacy Policy cui qui si rinvia.

3.9 Implementazione del progetto: il Project Manager, propone la revisione del progetto per la correzione dei fattori critici emersi se necessario; in assenza di fattori critici viene avviata la realizzazione del progetto sulla base delle caratteristiche in precedenza individuate.

Se il progetto che si intende implementare, presenta rischi elevati per le libertà e i diritti degli Interessati, la Direzione può decidere di interrompere e/o abbandonare l’implementazione dell’iniziativa tecnologica o organizzativa.

3.10 Aggiornamento registro ed avvio del trattamento: il nuovo trattamento, o la variazione di un trattamento presente, viene registrato all’interno del registro dei trattamenti, indicando tutti gli elementi previsti dal GDPR.

A seguito dell’aggiornamento del registro è possibile eseguire le elaborazioni previste dal trattamento inerenti il progetto implementato.

3.11 Monitoraggio e controllo La direzione esegue, in accordo con le funzioni competenti (in particolare quelle relative alla sicurezza dei dati), controlli periodici al fine di verificare la corrispondenza delle misure di sicurezza individuate in sede di analisi Privacy by Design con quelle realmente applicate ai processi implementati ed in esecuzione.

Riferimenti

• Regolamento europeo 2016/679 “General Data Protection Regulation (GDPR)”;
• Linee-guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del regolamento 2016/679 (WP 248).