Privacy by design: cosa significa e come si applica

Immagina di aver appena lanciato un nuovo e-commerce.
Il sito funziona, le prime vendite arrivano, l’agenzia che ha sviluppato la piattaforma ha fatto un buon lavoro.
A un certo punto qualcuno ti chiede: “Ma la privacy l’avete considerata durante lo sviluppo?” La risposta più comune, in queste situazioni, è: “Sì, abbiamo messo l’informativa e il banner dei cookie.”

C’è un principio del GDPR che dice che non basta.
Si chiama privacy by design e la maggior parte delle aziende lo conosce di nome ma raramente lo applica davvero.

La privacy by design non è un documento da allegare a fine progetto.
È un metodo di lavoro, un modo di pensare i sistemi, i processi e i prodotti che trattano dati personali prima ancora che esistano.
Lo prevede l’articolo 25 del Regolamento UE 2016/679 (GDPR), che non lascia spazio a interpretazioni: il titolare del trattamento deve adottare misure tecniche e organizzative adeguate al momento in cui determina i mezzi del trattamento, non quando il sistema è già in produzione.

Questo vale anche nei confronti dei fornitori: l’art. 28 del Regolamento UE 2016/679 stabilisce che chi tratta dati per conto del titolare, dallo sviluppatore software al provider cloud, deve offrire garanzie sufficienti in materia di protezione dei dati. Il titolare, quindi, può e deve coinvolgere i propri fornitori nell’applicazione del principio, ma la responsabilità di verificare che lo facciano rimane sempre in capo all’azienda.

Vale per tutti, non solo per le grandi aziende.

L’EDPB, il Comitato europeo per la protezione dei dati, lo chiarisce esplicitamente nelle Linee Guida 4/2019 sull’articolo 25 (versione 2.0, 2021):
l’obbligo si applica a qualsiasi titolare del trattamento, indipendentemente dalle dimensioni aziendali o dalla complessità di ciò che viene gestito.
Riguarda tanto la multinazionale quanto lo studio professionale che digitalizza l’archivio clienti o il negozio che installa un sistema di fidelizzazione.

Come si applica la privacy by design nella pratica

È molto più facile e molto meno costoso integrare la protezione dei dati in fase di progettazione che correggerla a sistema avviato. Vale per il software, vale per i processi interni, vale per qualsiasi flusso che coinvolge dati personali.

Prendiamo un esempio concreto.
Uno studio di consulenza del lavoro decide di gestire le buste paga su una piattaforma cloud. La piattaforma viene configurata in fretta: tutti i consulenti dello studio possono accedere a tutti i profili di tutti i clienti.  Nessuna separazione per cliente, nessun controllo su chi può vedere cosa, nessun registro di chi ha visualizzato i dati.
Finché tutto fila liscio, nessuno ci pensa. Poi un cliente chiede chi ha avuto accesso ai dati retributivi dei suoi dipendenti negli ultimi dodici mesi. Lo studio non è in grado di rispondere.

Quella configurazione viola l’art. 25 su più fronti. Tutti vedono tutto, gli accessi sono liberi e nessuno ha mai registrato chi ha consultato cosa.
Misure che uno sviluppatore competente avrebbe implementato in poche ore se la richiesta fosse arrivata prima della messa in produzione. A sistema avviato, diventano un problema complesso e costoso.

Le stesse Linee Guida EDPB 4/2019 chiariscono che il titolare deve assicurarsi che gli sviluppatori di applicazioni e software siano consapevoli dei requisiti di protezione dei dati e collaborino attivamente per rispettarli.
La responsabilità di aprire quella conversazione, prima che si scriva la prima riga di codice, è del titolare del trattamento, cioè dell’azienda committente, non dell’agenzia di sviluppo.

Cos’è la privacy by default e come si collega alla privacy by design

La privacy by default è il secondo principio introdotto dall’art. 25 del Regolamento UE 2016/679, e funziona in coppia con la privacy by design. Se la privacy by design riguarda come si progetta un sistema, la privacy by default riguarda come quel sistema si comporta nel momento in cui viene usato da qualcuno per la prima volta, senza che quella persona abbia ancora fatto nessuna scelta.

Il principio è semplice: un sistema deve raccogliere e trattare, per impostazione predefinita, solo i dati strettamente necessari per erogare il servizio. Non il massimo dei dati tecnicamente possibili, ma il minimo indispensabile. Se l’utente vuole condividere di più, può farlo, ma deve essere una sua scelta attiva, non una conseguenza del fatto che nessuno ha pensato a limitare la raccolta.

Nella pratica questo si traduce in scelte molto concrete, che riguardano quasi ogni azienda. Un form di registrazione sul sito non può avere caselle di consenso al marketing già spuntate: l’utente deve scegliere di spuntarle. Un’app non può richiedere l’accesso alla posizione geografica del telefono se quella informazione non è necessaria per far funzionare il servizio. Un gestionale aziendale non può mostrare a tutti i dipendenti i dati di tutti i clienti: ogni persona dovrebbe accedere solo alle informazioni strettamente necessarie per le funzioni che svolge.

Questi non sono dettagli tecnici da lasciare a chi sviluppa il software. Sono scelte che hanno conseguenze legali dirette e che devono essere prese prima che il sistema vada in produzione, non corrette dopo una segnalazione o un’ispezione. Il Garante ha sanzionato aziende proprio per configurazioni predefinite non conformi, in particolare nel settore delle app mobili e delle piattaforme di marketing.

La connessione con la privacy by design è diretta: un sistema progettato correttamente include già le impostazioni predefinite conformi.
Chi integra la protezione dei dati fin dalla fase progettuale non si trova a dover correggere configurazioni sbagliate a sistema avviato, con tutti i costi tecnici e legali che questo comporta.

Quando si applica concretamente: i momenti chiave del ciclo di vita di un progetto

La privacy by design non è un controllo da fare una volta sola. Ci sono momenti precisi nel ciclo di vita di un progetto in cui intervenire fa la differenza tra una conformità reale e una conformità solo sulla carta.

Il primo momento è la fase di analisi dei requisiti. Prima ancora che si scelga la piattaforma, il fornitore o l’architettura tecnica, bisogna sapere quali dati verranno raccolti, per quale finalità, per quanto tempo verranno conservati e chi vi avrà accesso. Queste domande non sono burocratiche: sono decisive per le scelte tecniche che seguono.

Il secondo momento è la selezione dei fornitori. Ogni strumento esterno che tratta dati personali per conto dell’azienda, dal CRM al sistema di ticketing, dalla piattaforma di email marketing al software gestionale, deve essere valutato anche sotto il profilo della conformità.

L’art. 28 del Regolamento UE 2016/679 stabilisce che il titolare è responsabile di scegliere fornitori che offrano garanzie sufficienti in materia di protezione dei dati. Scegliere uno strumento senza verificare queste garanzie non è una scorciatoia: è un rischio che rimane in capo all’azienda.

Il terzo momento è il collaudo, prima del go-live. È la fase in cui si verifica che quanto progettato sia stato effettivamente implementato: i permessi di accesso sono configurati correttamente? I dati non necessari vengono davvero scartati? I log di accesso vengono registrati? Questo controllo, se fatto con metodo, è anche la base della documentazione che servirà in caso di ispezione.

Agire in questi tre momenti è alla portata di qualsiasi azienda, a patto di avere un metodo chiaro, sapere cosa documentare e qualcuno in grado di tradurre i requisiti normativi in azioni concrete.

Quali sono le conseguenze di non applicare la privacy by design

Nel 2020 il regolatore britannico (ICO) ha sanzionato Ticketmaster UK con 1,25 milioni di sterline per una violazione dei dati che aveva esposto le informazioni di pagamento di circa 9,4 milioni di clienti in Europa. L’attacco era stato veicolato attraverso un chatbot di terze parti, Inbenta Technologies, integrato direttamente nel flusso di acquisto del sito. Il codice malevolo era rimasto attivo per quasi nove mesi prima che la violazione venisse individuata, e solo perché una banca esterna aveva segnalato transazioni fraudolente sui conti dei clienti Ticketmaster.

L’ICO ha accertato che Ticketmaster non aveva valutato i rischi prima di integrare quel componente di terze parti in un processo che gestiva dati di pagamento, e non aveva predisposto alcun sistema di monitoraggio delle anomalie che avrebbe permesso di rilevare l’attacco in tempi ragionevoli.

La mancata applicazione dei principi di privacy by design ha innescato una catena di violazioni: dall’assenza di misure di sicurezza adeguate ai sensi dell’art. 32, fino alla compromissione dei principi fondamentali di protezione dei dati previsti dall’art. 5 del Regolamento UE 2016/679.
Nessuno aveva fatto le domande giuste prima di andare in produzione. Quanto è sicuro questo componente? Quali dati transita? Chi lo controlla e come?”

Per una PMI, la lezione è un’altra: un’azienda piccola ha meno risorse per gestire una violazione a posteriori, meno margine per assorbire una sanzione e meno capacità di comunicare la crisi ai propri clienti. Prevenire con un approccio by design costa meno di qualsiasi intervento correttivo, e le cifre in gioco lo confermano. Le violazioni dell’art. 25 rientrano nel primo livello sanzionatorio previsto dall’art. 83 del GDPR, con sanzioni fino a 10 milioni di euro o al 2% del fatturato annuo globale.
C’è però un aspetto che spesso viene sottovalutato rispetto alla cifra in sé. Durante un’ispezione, il titolare ha l’onere di dimostrare cosa è stato fatto e, se qualcosa non è stato fatto, di giustificarne le ragioni.
Chi non ha documentato le scelte progettuali in chiave privacy si trova esposto anche in buona fede, perché non basta aver fatto le cose giuste, bisogna poterlo dimostrare.

Chi si occupa della privacy by design in azienda e quando serve un consulente

La responsabilità è sempre del titolare del trattamento, cioè dell’azienda. Ma applicare la privacy by design richiede competenze che toccano sia il diritto che la tecnologia: bisogna saper leggere un’architettura software, capire dove transitano i dati in un sistema integrato, riconoscere il rischio in una specifica configurazione. Chi scrive codice non è tenuto a valutare le implicazioni giuridiche delle scelte architetturali, e chi conosce il GDPR non sempre sa come si configura un gestionale o si struttura un’API.

Questa figura esiste e si chiama consulente privacy o DPO esterno. Nelle PMI è quasi sempre una risorsa esterna, cioè un professionista specializzato che l’azienda ingaggia senza assumere. Può avere formazione giuridica, tecnica o entrambe, ma quello che conta è che conosca sia la norma che i sistemi concreti su cui l’azienda lavora. Non produce solo documentazione: entra nel merito delle scelte progettuali, parla con chi sviluppa, verifica le configurazioni e costruisce il sistema di accountability, cioè la capacità concreta di dimostrare la conformità in caso di ispezione.

Vediamo come funziona nella pratica.
Una PMI lancia un nuovo e-commerce e, prima di affidare lo sviluppo a un’agenzia, coinvolge un consulente privacy per mappare i flussi di dati previsti: registrazione utenti, checkout, newsletter, remarketing, analytics.
Per ciascun trattamento vengono definiti base giuridica, dati minimi necessari, tempi di conservazione e misure richieste al fornitore. Il capitolato tecnico all’agenzia include già i requisiti privacy.
I form vengono progettati senza caselle pre-spuntate. Il registro dei trattamenti viene compilato in parallelo allo sviluppo, non a progetto concluso. La DPIA, obbligatoria per trattamenti ad alto rischio come il remarketing profilato, viene eseguita prima del go-live.

L’EDPB, nella sua Guida per le PMI, raccomanda di verificare che i fornitori di prodotti e servizi garantiscano la conformità ai principi di privacy by design, controllando se possiedono certificazioni o applicano codici di condotta in materia.

Da dove iniziare, concretamente

Se hai letto fin qui e ti stai chiedendo se la tua azienda è in regola, la risposta onesta è: dipende da cosa è stato fatto prima che i sistemi andassero in produzione.

Il primo passo non è comprare un software o compilare un modulo. È capire quali dati tratti, dove transitano, chi vi accede e con quali garanzie. Da quella mappatura emergono le priorità, i rischi da affrontare e le misure da adottare, sia tecniche che organizzative.

Per una PMI, questo lavoro si costruisce una volta in modo strutturato e si mantiene aggiornato nel tempo, adattandosi ai cambiamenti normativi e all’evoluzione dei processi aziendali. Richiede qualcuno che sappia dove guardare, cosa documentare e come tradurre gli obblighi normativi in scelte tecniche concrete.

Se hai ancora dubbi su aspetti specifici, trovi le risposte alle domande più frequenti qui sotto.

Vuoi integrare la privacy by design nei tuoi processi? Scrivici.

Dalla mappatura dei trattamenti all’affiancamento nelle fasi di sviluppo: seguiamo la tua azienda in ogni passaggio.
Contattaci per una prima consulenza gratuita.