Alessandro Dario Cortesi - L'art. 25 del GDPR: dalla privacy by default al principio di minimizzazione o necessità nel trattamento dei dati

Cookie free: nessun "biscotto" per spiare i lettori

Home Informazioni Contatti

Cerca in InterLex con Google

Gratis, per essere sempre aggiornato

sulle novità di InterLex

Privacy e sicurezza

Identità digitale

Le regole dell'internet

Diritto d'autore

Informazione e comunicazione

Amministrazione digitale

Reti e telecomunicazioni

Varie ed eventuali

Fonti normative e documenti

Numeri precedenti

Sezioni non più attive

Indice storico-sistematico 1995-2011

L'art. 25 del GDPR: dalla privacy by default al principio di minimizzazione o necessità nel trattamento dei dati personali

- Alessandro Dario Cortesi* - 4 settembre 2017

Il 25 maggio 2018 sarà applicabile il Regolamento UE 2016/679 del Parlamento e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione degli stessi (frequentemente citato anche come GDPR – General Data Protection Regulation), che supererà le disposizioni della Direttiva 95/46/EC sulla protezione dei dati (cfr. www.eugdpr.org).

A distanza di oltre vent’anni dalla precedente disciplina europea generale della materia, il nuovo regolamento è chiamato a confrontarsi con uno scenario tecnologico nettamente diverso. La c.d. società dell’informazione si caratterizza infatti per l’assoluta pervasività: il social networking, il cloud e l’ubiquitous computing, l’internet delle cose, big data analytics e così via non solo rappresentano armi di aggressione della riservatezza assai affilate, ma programmaticamente si imbevono dei dati personali degli utenti.

Numerose disposizioni del GDPR avranno un impatto significativo e pertanto non sorprende che i cultori dell’informatica giuridica si siano concentrati negli ultimi mesi sull’interpretazione di alcuni passaggi di un testo che presenta non poche oscurità (e che, come già riscontrato in altre occasioni, reca una traduzione in italiano discutibile).

Un articolo spesso citato è l’art. 25, che la dottrina commenta favorevolmente in quanto ricettivo di due principi fondamentali: quello della c.d. "privacy by design" e della c.d. "privacy by default" (che si affiancano al principio c.d. di "accountability" – cfr. art. 5 u.c.).

Ebbene, che il GDPR si ispiri, fra gli altri, a questi principi è considerazione certamente corretta. Che l’art. 25 li implementi è pacifico. La stessa rubrica lo attesta in modo inequivocabile.

Ma occorre, secondo lo scrivente, prestare la massima attenzione nell’interpretazione di queste formule lessicali.

Il rischio è quello di essere indotti in errore dalla rubrica dell’art. 25 e dalle definizioni comunemente date a questi concetti. Mentre la maggior parte degli interpreti si limita a specificare, infatti, che la protezione dei dati deve essere garantita "fin dalla progettazione" e "per impostazione predefinita", occorre rammentare che l’art. 25 richiede degli adempimenti assai più rilevanti ed impegnativi.

Come sottolineato da N. Fabiano, "Privacy by Design: l’approccio corretto alla protezione dei dati personali", in Diritto 24, la migliore esplicitazione del concetto di "privacy by design", locuzione ampiamente utilizzata in USA e Canada, è contenuta negli interventi di Ann Cavoukian, Information and Privacy Commissioner dell’Ontario.

Negli anni Novanta, quando ci si è resi conto dell’impatto delle nuove tecnologie sul diritto di privacy degli utenti, si è raccomandata l’implementazione delle c.d. PET (Privacy Enhancing Technologies): tecnologie, per così dire "aggiuntive", in grado di mitigare questi indesiderati effetti, preservando la funzionalità del sistema informativo. Ad es. si è suggerito di crittografare le basi di dati personali raccolti.

L’introduzione della "privacy by design" si poneva l’obiettivo di superare questo approccio ex post. Secondo Cavoukian in tanto è possibile attribuire una vera protezione ai dati dell’individuo, in quanto si metta l’utente ed i suoi diritti al centro dell’analisi e quindi ex ante si progetti un nuovo bene/servizio in un’ottica rispettosa della privacy.

La 32ma Conferenza mondiale dei Garanti della privacy (ICDPPC International Conference of Data Protection & Privacy Commissioners), tenutasi a Gerusalemme nel 2010, ha accolto favorevolmente tale cambio di paradigma, adottando la Resolution on Privacy by design.

La risoluzione elenca fra i principi, ex plurimis, l’adozione di un’ottica proattiva e non reattiva, preventiva e non rimediale, invoca una privacy "Embedded into Design" ed una tutela della privacy "as the Default".

In questo senso il concetto di "privacy by design" altro non costituirebbe che una specificazione della "privacy by default". Occorre tutelare il diritto alla privacy per impostazione predefinita e, per poterlo fare efficacemente, bisogna occuparsene sin dall’inizio, sin dalla prima ideazione di un processo.

Così colte anche le ragioni storiche dell’utilizzo di queste formule lessicali, occorre tornare ad analizzare l’art. 25 del GDPR.

Vero che al primo comma, con formula assai ridondante, esso specifica che "[…] sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate […] volte ad attuare in modo efficace i principi di protezione dei dati […] e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati".

Ma al secondo comma esso specifica che "Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica".

Il secondo comma enuncia quindi un principio assai diverso, ovvero quello della minimizzazione (invero richiamato ad esempio, assieme alla pseudonimizzazione, anche dal primo comma): non possono essere trattati dati personali ulteriori rispetto a quelli minimi indispensabili per ogni specifica finalità. I dati raccolti non possono essere conservati per tempi ulteriori rispetto a quelli minimi necessari. E ancora non è consentito l’accesso ad un numero indefinito di dati personali da parte di macchine ("senza l’intervento della persona fisica").

Tali ulteriori contenuti non possono essere sottaciuti o svalutati, a tacer d’altro in considerazione del richiamo dell’art. 25 contenuto nell’art. 83, comma 2, lett. d (le eventuali sanzioni saranno comminate dall’Autorità di controllo avute anche presenti le misure tecniche ed organizzative messe in atto ai sensi degli artt. 25 e 32).

Visto che l’attuazione di una disciplina passa anche per la correttezza delle informazioni che vengono veicolate agli operatori pratici, suggerirei quindi di abbandonare il riferimento alla "privacy by default", concetto del resto già contenuto in quello di "privacy by design" e di riferirsi al principio di minimisation o minimizzazione.

Forse basterebbe però richiamarsi al c.d. principio di necessità nel trattamento dei dati, contenuto nell’art. 3 del D.Lgs. 30/06/2003, n. 196, Codice in materia di protezione dei dati personali italiano, il quale, giova rammentarlo, recita "I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità".

Detto articolo non dovrà quindi considerarsi in alcun modo superato dalle nuove disposizioni europee, ma semmai rafforzato ed ulteriormente ampliato nella sua sfera di applicazione.

Per concludere occorre specificare che questo approccio soggettivo alla privacy, che mette il soggetto uti singulus al centro della tutela giuridica, a cui il GDPR in larga parte si ispira, con buona probabilità si dimostrerà anch’esso insufficiente per respingere efficacemente le aggressioni alla privacy perpetrate dall’analisi predittiva (big data analytics ed intelligenza artificiale), essendo dimostrato che la fiducia nei confronti del consenso informato degli utenti è malriposta (cfr. Solove, "Introduction: Privacy Selfmanagement and The Consent Dilemma", in Harvard Law Review, 2013, p. 1880 ss.).

Maggiori probabilità di successo possono avere i meccanismi di certificazione nonché la previsione di sigilli e marchi di protezione dei dati (disciplinati dagli artt. 42 e ss. e richiamati dall’ultimo comma dell’art. 25 del GDPR). Sul punto si condividono quindi le riflessioni espresse da Mantelero, "Responsabilità e rischio nel Reg. UE 2016/679", in Nuove leggi civ. comm., 2017, 1, 144.

* Professore a contratto di Informatica giuridica presso l’Università Cattolica del Sacro Cuore di Milano.

Per intervenire nel Forum, clicca qui

Inizio pagina

Indice del Forum

Home

Introduzione

Tra la persona e l'algoritmo,

l'internet vent'anni dopo

Che cosa significa

"cittadinanza digitale"?

FORUM20 è aperto a tutti

Il programma generale

Gli interventi online

Come partecipare online

Il convegno conclusivo

Il 19 dicembre a Roma

in collaborazione con

Come partecipare

Una lunga storia di idee

Tutti gli interventi 1995-2017

Il Forum del 1995

"Comportamenti e norme

nella società vulnerabile"

Il Forum del 1996

"Una rete di norme

per il mondo in rete"

Il Forum del 1997

"La legge e la Rete"

Il Forum del 2005

"Il futuro del diritto

i diritti del futuro"

Il primo numero di InterLex

8 maggio 1997

Pubblicazione iscritta nel registro della stampa del Tribunale di Roma con il n. 585/97 - Direttore responsabile Manlio Cammarata - P. IVA 13001341000