I princìpi cardine del Gdpr mettono la privacy al centro

I principi cardine all’interno del Gdpr presuppongono un’attenta analisi di ogni trattamento di dati che titolare o responsabile vogliano implementare con un’analisi ex ante, prima che questi vengano implementati.

Il principio cardine di privacy by design e by default ai sensi dell’articolo 25 del Regolamento europeo nasce dalla necessità di configurare il trattamento fin dalla progettazione al fine di soddisfare i requisiti del Gdpr e tutelare i diritti degli interessati, tenendo conto del contesto complessivo in cui il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio, il che richiede un'analisi preventiva e un impegno applicativo da parte dei titolari che devono tradursi in una serie di attività specifiche e dimostrabili.

“Disegnare la privacy”

Il principio della centralità dell’utente è cruciale nel “disegnare la privacy”, dal momento che obbliga il titolare del trattamento a una tutela effettiva in modo sostanziale, e non soltanto formale; questo significa che non basta che la progettazione del sistema sia conforme alla norma se poi nella pratica l'utente non è tutelato.

Se, quindi, la privacy by design richiede che ci sia una progettazione a monte, la conseguenza diretta di questa attività è rappresentata dalla privacy by default, facendo sì che entrambi i principi portino a soluzioni che mettano al centro l’utente. L’articolo 25 del Gdpr, paragrafo 2, prevede che di default, ovvero di impostazione predefinita, i dati personali dell’utente debbano essere trattati solo per le finalità previste e il periodo necessario, limitando così l’eccessività dei dati raccolti.

Alto principio cardine del Regolamento è l’accountability, che assegna al titolare del trattamento un ruolo cruciale. Questi infatti è tenuto a rendere conto del processo di trattamento dei dati personali, e ne è responsabile. Oltre all'adempimento delle normative sulla privacy, entra in gioco una nuova consapevolezza. Ed è proprio questo spirito a permeare tutti gli articoli del Gdpr.

Con il principio dell’accountability il titolare è il garante per il rispetto dei principi e allo stesso tempo deve essere in grado di comprovarlo. In questo senso è proprio il testo normativo che lo cita all’art. 5 paragrafo 2: "Il titolare del trattamento è competente […] per il rispetto dei principi e deve essere in grado di comprovarlo".

Il Regolamento, pertanto, pone con forza l'accento sull’accountability dei titolari e responsabili che potrebbe riassumersi, come "l’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l'applicazione del regolamento" (artt. 23-25, in particolare, e l'intero capo IV del Regolamento). In questo modo si può dire che viene affidato ai titolari il compito precipuo di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.

Per proseguire la lettura dell'interessante articolo di Amedeo Leone - Consulente della sicurezza informatica, delegato di Federprivacy - questo è il link