Cookie free: nessun "biscotto" per spiare i lettori

InterLex - RIVISTA DI DIRITTO TECNOLOLOGIA INFORMAZIONE

 

 

L'art. 25 del GDPR: dalla privacy by default al principio di minimizzazione o necessità nel trattamento dei dati personali

- Alessandro Dario Cortesi* - 4 settembre 2017

Il 25 maggio 2018 sarà applicabile il Regolamento UE 2016/679 del Parlamento e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione degli stessi (frequentemente citato anche come GDPR – General Data Protection Regulation), che supererà le disposizioni della Direttiva 95/46/EC sulla protezione dei dati (cfr. www.eugdpr.org).

A distanza di oltre vent’anni dalla precedente disciplina europea generale della materia, il nuovo regolamento è chiamato a confrontarsi con uno scenario tecnologico nettamente diverso. La c.d. società dell’informazione si caratterizza infatti per l’assoluta pervasività: il social networking, il cloud e l’ubiquitous computing, l’internet delle cose, big data analytics e così via non solo rappresentano armi di aggressione della riservatezza assai affilate, ma programmaticamente si imbevono dei dati personali degli utenti.

Numerose disposizioni del GDPR avranno un impatto significativo e pertanto non sorprende che i cultori dell’informatica giuridica si siano concentrati negli ultimi mesi sull’interpretazione di alcuni passaggi di un testo che presenta non poche oscurità (e che, come già riscontrato in altre occasioni, reca una traduzione in italiano discutibile).

Un articolo spesso citato è l’art. 25, che la dottrina commenta favorevolmente in quanto ricettivo di due principi fondamentali: quello della c.d. "privacy by design" e della c.d. "privacy by default" (che si affiancano al principio c.d. di "accountability" – cfr. art. 5 u.c.).

Ebbene, che il GDPR si ispiri, fra gli altri, a questi principi è considerazione certamente corretta. Che l’art. 25 li implementi è pacifico. La stessa rubrica lo attesta in modo inequivocabile.

Ma occorre, secondo lo scrivente, prestare la massima attenzione nell’interpretazione di queste formule lessicali.

Il rischio è quello di essere indotti in errore dalla rubrica dell’art. 25 e dalle definizioni comunemente date a questi concetti. Mentre la maggior parte degli interpreti si limita a specificare, infatti, che la protezione dei dati deve essere garantita "fin dalla progettazione" e "per impostazione predefinita", occorre rammentare che l’art. 25 richiede degli adempimenti assai più rilevanti ed impegnativi.

Come sottolineato da N. Fabiano, "Privacy by Design: l’approccio corretto alla protezione dei dati personali", in Diritto 24, la migliore esplicitazione del concetto di "privacy by design", locuzione ampiamente utilizzata in USA e Canada, è contenuta negli interventi di Ann Cavoukian, Information and Privacy Commissioner dell’Ontario.

Negli anni Novanta, quando ci si è resi conto dell’impatto delle nuove tecnologie sul diritto di privacy degli utenti, si è raccomandata l’implementazione delle c.d. PET (Privacy Enhancing Technologies): tecnologie, per così dire "aggiuntive", in grado di mitigare questi indesiderati effetti, preservando la funzionalità del sistema informativo. Ad es. si è suggerito di crittografare le basi di dati personali raccolti.

L’introduzione della "privacy by design" si poneva l’obiettivo di superare questo approccio ex post. Secondo Cavoukian in tanto è possibile attribuire una vera protezione ai dati dell’individuo, in quanto si metta l’utente ed i suoi diritti al centro dell’analisi e quindi ex ante si progetti un nuovo bene/servizio in un’ottica rispettosa della privacy.

La 32ma Conferenza mondiale dei Garanti della privacy (ICDPPC International Conference of Data Protection & Privacy Commissioners), tenutasi a Gerusalemme nel 2010, ha accolto favorevolmente tale cambio di paradigma, adottando la Resolution on Privacy by design.

La risoluzione elenca fra i principi, ex plurimis, l’adozione di un’ottica proattiva e non reattiva, preventiva e non rimediale, invoca una privacy "Embedded into Design" ed una tutela della privacy "as the Default".

In questo senso il concetto di "privacy by design" altro non costituirebbe che una specificazione della "privacy by default". Occorre tutelare il diritto alla privacy per impostazione predefinita e, per poterlo fare efficacemente, bisogna occuparsene sin dall’inizio, sin dalla prima ideazione di un processo.

Così colte anche le ragioni storiche dell’utilizzo di queste formule lessicali, occorre tornare ad analizzare l’art. 25 del GDPR.

Vero che al primo comma, con formula assai ridondante, esso specifica che "[…] sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate […] volte ad attuare in modo efficace i principi di protezione dei dati […] e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati".

Ma al secondo comma esso specifica che "Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica".

Il secondo comma enuncia quindi un principio assai diverso, ovvero quello della minimizzazione (invero richiamato ad esempio, assieme alla pseudonimizzazione, anche dal primo comma): non possono essere trattati dati personali ulteriori rispetto a quelli minimi indispensabili per ogni specifica finalità. I dati raccolti non possono essere conservati per tempi ulteriori rispetto a quelli minimi necessari. E ancora non è consentito l’accesso ad un numero indefinito di dati personali da parte di macchine ("senza l’intervento della persona fisica").

Tali ulteriori contenuti non possono essere sottaciuti o svalutati, a tacer d’altro in considerazione del richiamo dell’art. 25 contenuto nell’art. 83, comma 2, lett. d (le eventuali sanzioni saranno comminate dall’Autorità di controllo avute anche presenti le misure tecniche ed organizzative messe in atto ai sensi degli artt. 25 e 32).

Visto che l’attuazione di una disciplina passa anche per la correttezza delle informazioni che vengono veicolate agli operatori pratici, suggerirei quindi di abbandonare il riferimento alla "privacy by default", concetto del resto già contenuto in quello di "privacy by design" e di riferirsi al principio di minimisation o minimizzazione.

Forse basterebbe però richiamarsi al c.d. principio di necessità nel trattamento dei dati, contenuto nell’art. 3 del D.Lgs. 30/06/2003, n. 196, Codice in materia di protezione dei dati personali italiano, il quale, giova rammentarlo, recita "I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità".

Detto articolo non dovrà quindi considerarsi in alcun modo superato dalle nuove disposizioni europee, ma semmai rafforzato ed ulteriormente ampliato nella sua sfera di applicazione.

Per concludere occorre specificare che questo approccio soggettivo alla privacy, che mette il soggetto uti singulus al centro della tutela giuridica, a cui il GDPR in larga parte si ispira, con buona probabilità si dimostrerà anch’esso insufficiente per respingere efficacemente le aggressioni alla privacy perpetrate dall’analisi predittiva (big data analytics ed intelligenza artificiale), essendo dimostrato che la fiducia nei confronti del consenso informato degli utenti è malriposta (cfr. Solove, "Introduction: Privacy Selfmanagement and The Consent Dilemma", in Harvard Law Review, 2013, p. 1880 ss.).

Maggiori probabilità di successo possono avere i meccanismi di certificazione nonché la previsione di sigilli e marchi di protezione dei dati (disciplinati dagli artt. 42 e ss. e richiamati dall’ultimo comma dell’art. 25 del GDPR). Sul punto si condividono quindi le riflessioni espresse da Mantelero, "Responsabilità e rischio nel Reg. UE 2016/679", in Nuove leggi civ. comm., 2017, 1, 144.

*  Professore a contratto di Informatica giuridica presso l’Università Cattolica del Sacro Cuore di Milano.

Per intervenire nel Forum, clicca qui
Inizio pagina     Indice del Forum      Home

Pubblicazione iscritta nel registro della stampa del Tribunale di Roma con il n. 585/97 - Direttore responsabile Manlio Cammarata - P. IVA 13001341000

© Manlio Cammarata/InterLex 2017 -  Informazioni sul copyright