Il GDPR, cioè il regolamento generale europeo sulla protezione dei dati personali (regolamento UE 2016/679) introduce all’art. 25 il principio della protezione dei dati by design and by default (fin dalla progettazione e per impostazione predefinita). Si tratta, in effetti, di una disposizione un po’ criptica ma di fondamentale importanza: in sostanza, l’art. 25 prescrive che il titolare di un trattamento ponga in essere, fin dalla progettazione dello stesso, misure tecniche e organizzative adeguate (art. 25, par. 1, GDPR, protezione fin dalla progettazione) e che “siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento” (art. 25, par. 2, GDPR, protezione dei dati per impostazione predefinita).
L’art. 25 è una norma chiave della protezione dei dati personali poiché, sebbene in linea di principio sia applicabile a ogni tipologia di trattamento, l’ambito precipuo di operatività di questo articolo è la progettazione e l’implementazione dei sistemi tecnologici che raccolgono, analizzano e, quindi, “trattano” dati, richiedendo appunto, che, “fin dalla progettazione”, e, “per impostazione predefinita”, essi siano conformi ai dettami del GDPR.
Privacy by Design and by Default
Il principio della protezione dei dati personali by design and by default è stato per la prima volta elaborato da Ann Cavoukian, Commissario dell’Ontario (Canada) nel 1995 ed è strettamente legato al concetto delle privacy enhancing technologies (generalmente conosciute con l’acronimo PET), cioè i congegni tecnologici (hardware, software, o un’integrazione di entrambi) creati per aiutare a proteggere i dati personali e che possono essere “embedded”, cioè incorporati in altri sistemi tecnologici, al fine di renderli maggiormente compliant con la normativa in materia di privacy.
Le linee guide dell’European Data Protection Board
L’European Data Protection Board (EDPB) il 20 ottobre 2020 ha pubblicato delle guidelines sul data protection by design and by default; inoltre, l’European Union Agency for Cybersecurity (ENISA) ha diffuso diversi documenti per aiutare le PMI europee a cimentarsi con il problema della creazione di apparati e sistemi di tecnologia che siano conformi al GDPR by design and by default, tra cui: nel 2015 il documento Privacy by design in big data; nel 2019 ENISA’PETs maturity assessment repository; sempre nel 2019 Recommendations on shaping technology according to GDPR provisions – an overview on data pseudonymisation; e ancora nel 2019 Recommendations on shaping technology according to GDPR provisions – Exploring the notion of data protection by default.
L’importanza pratica della protezione della privacy by design and by default è enorme poiché, nell’attuale società dell’informazione, le lesioni più gravi alla protezione dei dati personali degli interessati avvengono solitamente nell’ambito di falle (causate da condotte colpose o dolose) all’interno di sistemi complessi di tecnologia, il cui funzionamento è basato, per definizione, sul fagocitamento e il processamento di immense quantità di dati personali. A titolo di esempio, si consideri che una violazione dei diritti degli interessati su larga scala si verifica a seguito di un data breach del sistema di gestione delle informazioni di un grande ospedale o di una RSA e non certo di un piccolo studio medico o di una farmacia di quartiere (che, comunque, nel loro piccolo, rimangono importanti e meritano la massima attenzione da parte del titolare).
Il GDPR, costruito intorno al concetto dell’accountability, cioè della responsabilizzazione del titolare, vale a dire il soggetto che decide di effettuare un trattamento e ne stabilisce i mezzi e le finalità, non pone delle eccezioni per quanto riguarda la costruzione di sistemi complessi di tecnologia realizzati con rilevanti investimenti, magari con fondi pubblici: anche in tali casi la responsabilità, nel caso di violazione dei diritti degli interessati, ricade sul titolare ai sensi degli artt. 82, 83 e 84 GDPR. Tuttavia, se tale principio è chiarissimo dal punto di vista giuridico, sul terreno melmoso dell’applicabilità pratica, invece, esso presenta delle complessità di non poco conto. Un esempio potrebbe aiutare a contestualizzare la questione.
Si immagini che, sull’onda lunga del Recovery Fund (ammesso che il Governo Conte non riesca ad affossare ogni possibilità per l’Italia di accedere a questi fondi), un’amministrazione comunale, magari dopo un complicato e laborioso accordo bypartisan, decida di creare un sistema tecnologico di guida turistica virtuale, il quale consista in un app liberamente scaricabile dai visitatori che si collega a telecamere a altre installazioni fisse che generano delle esperienze di realtà virtuale, ma con alcune funzioni a pagamento, che li guidi a scoprire il luoghi d’interesse del territorio; s’immagini anche che l’app comprenda un sistema di registrazione delle imprese locali attive nel settore (hotel, b&b, ristoranti, negozi di souvenir, car rental, etc.).
L’opera viene assegnata attraverso una procedura di gara ad evidenza pubblica, complicata dal fatto che parte del finanziamento avviene in project financing (il general contractor viene ripagato, in parte, dai flussi di cassa generati dalle funzioni a pagamento dell’app.). Si immagini, altresì, che la parte software del sistema sia stata fornita, a un prezzo relativamente basso, da un’azienda locale, quindi un subappaltatore del general contractor, che, anni prima, era stata acquisita da un grande gruppo industriale straniero attivo nel settore ICT.
Il comune ha ovviamente un DPO, che immaginiamo essere persona seria e capace, che, però, non viene consultato nella fase di preparazione del bando di gara per l’assegnazione dell’appalto; tale bando, quindi, non richiede che il general contractor si doti di professionalità capaci di fare un assessment di eventuali criticità, dal punto di vista della normativa a tutela della privacy, del progetto di guida turistica virtuale sviluppato dal comune. Qui emerge un primo profilo di criticità: la distanza siderale tra il DPO, che ha l’incarico di consigliare il comune sulle questioni legate alla privacy, e i soggetti che progettano e realizzano il sistema di tecnologia della guida virtuale, i quali di tutto si preoccupano tranne che di assicurarsi che tale sistema sia compliant con il GDPR. Immaginiamo, comunque, che il sistema venga realizzato, con grande giubilo della compagine politica bypartisan locale che lo ha promosso, e che entri in funzione regolarmente, riscuotendo un grande successo. Dopo qualche tempo, tuttavia, il serio e capace DPO del comune scopre che l’azienda la quale ha sviluppato il software ha il completo accesso ai dati personali sia dei turisti che degli abitanti del comune e che, in violazione di qualsiasi principio di tutela dei diritti e delle libertà degli interessati, li ha comunicati ad altre società del medesimo gruppo industriale di cui è parte trattandoli illecitamente per scopi di marketing aggressivo.
Quale è il problema, si dirà: il serio e coscenzioso DPO allerterà il comune e chiederà che il sistema di guida virtuale sia sospeso fino a quando non sia reso compliant alle norme in materia di protezione dei dati personali. Qui emerge una seconda criticità, la più rilevante: un sistema come quello immaginato costerà diverse centinaia di migliaia di euro ed effettuare una modifica per renderlo privacy compliant implicherà, in ogni caso, un costo economico importante. Chi paga? Si immagini anche che la struttura finanziaria dell’operazione sia stata messa in piedi da una banca del territorio (tra i cui azionisti, casualmente, figura una fondazione bancaria legata ai gruppi politici locali che hanno promosso il progetto) che, se si dovesse bloccare il sistema di guida virtuale e conseguentemente i flussi finanziari derivanti dalla parte a pagamento dell’apparato, accuserebbe un forte danno economico.
La differenza tra un sistema che tratta dati personali incorporato in un apparato di alta tecnologia, che costituisce un’opera realizzata con l’impiego di capitali finanziari di non piccola entità e i trattamenti realizzati su fogli excel dalla piccola SRL appare, a questo punto, chiaramente contestualizzato: nel primo caso, qualora emergessero delle violazioni della normativa della privacy, il sistema tecnologico può esser reso compliant con il GDPR solamente effettuando un esborso finanziario, comunque, di non piccola entità; nel secondo caso sarebbe sufficiente impiegare alcune ore di lavoro, modificando gli excel, per rendere il trattamento conforme al GDPR.
Poi, per rimanere all’esempio fatto, i gruppi politici che hanno promosso il progetto come si porrebbero rispetto a tutto questo? Non appare plausibile che la politica accetti sic et sempliciter che un’infrastruttura pubblica, su cui ha investito un rilevante capitale reputazionale, sia smantellato e magari che la banca del territorio che ha finanziato il general contractor vada in default a seguito della mancata restituzione del finanziamento. Al di là degli schieramenti, in ipotesi del genere, c’è invece da aspettarsi che il sistema politico territoriale scenda in campo, in assetto da guerra, a difesa delle infrastrutture create sul territorio, anche se progettate in totale violazione delle norme a tutela della privacy; sarebbe, altresì, ragionevole immaginare, in casi del genere, che si scatenino delle pressioni fortissime sul DPO affinché “lasci perdere”.
In considerazione del fatto che il Recovery Fund sarà fondamentalmente focalizzato su progetti green o di digitisation, appare opportuno che il tema della progettazione di sistemi di tecnologia by design and by default in compliance con il GDPR riceva maggiore attenzione nel dibattito nazionale e che, soprattutto nel caso di opere finanziate con fondi pubblici, sia richiesto che chi procede alla progettazione di sistemi di tecnologia che trattano dati tenga esplicitamente presente la problematica posta dall’art. 25 GDPR (magari includendo nel team di progettazione degli esperti di privacy), soprattutto in un’ottica preventiva: al di là dell’aderenza del sistema politico-istituzionale alla rule of law (e l’Italia, nella classifiche europee, non occupa sicuramente le prime posizioni), appare comunque di particolare difficoltà smantellare o modificare a posteriori sistemi tecnologici ed apparati realizzati sulla base d’investimenti finanziari elevati.