Art. 25 GDPR — Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita

Commento

Privacy by design e by default

L'art. 25 GDPR consacra i due principi cardine del data protection moderno: privacy by design e privacy by default. Il primo impone di incorporare la protezione nel ciclo di vita del trattamento, fin dalla progettazione; il secondo impone di configurare i sistemi in modo che, per impostazione predefinita, siano trattati solo i dati necessari per ciascuna finalità specifica del trattamento. Sono principi di ingegneria della privacy: trasformano la compliance da reazione ex post a progettazione ex ante. Il considerando 78 ne sottolinea l'importanza sistemica: la tutela è efficace solo se costruita, non aggiunta.

Privacy by design (par. 1)

Il par. 1 prevede che, tenuto conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare metta in atto, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso, misure tecniche e organizzative adeguate (pseudonimizzazione, minimizzazione, ecc.) volte ad attuare in modo efficace i principi di protezione dei dati. È regola di proporzionalità dinamica: la protezione cresce con i rischi.

Privacy by default (par. 2)

Il par. 2 prevede che il titolare metta in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati raccolti, la portata del loro trattamento, il periodo di conservazione e l'accessibilità. La regola impone configurazioni minimaliste per default: opt-in invece di opt-out, accessi profilati strettamente, finestre di retention ridotte, visibilità minima nei social. La giurisprudenza del Garante ha sanzionato configurazioni di default permissive.

Tecniche e organizzazioni proattive

Sul piano tecnico, le misure includono: pseudonimizzazione e cifratura by design; controlli di accesso basati su ruoli (RBAC) e zero-trust; data minimization tools che impediscono raccolta di campi non necessari; impostazioni di privacy elevate by default; audit log automatici. Le misure organizzative includono: review periodiche di nuovi progetti, integrazione del DPO nel ciclo di sviluppo (privacy SDLC), formazione degli sviluppatori, policy di onboarding. Il privacy engineer è la nuova figura professionale chiave.

Coordinamento con DPIA e art. 32

Il coordinamento con la DPIA (art. 35) è organico: la DPIA è strumento operativo per attuare l'art. 25 nei trattamenti a rischio elevato. Il coordinamento con la sicurezza (art. 32) è altrettanto stretto: privacy by design e sicurezza si rinforzano reciprocamente. L'integrazione con il framework di accountability dell'art. 24 chiude il sistema: design + sicurezza + dimostrabilità.

Certificazioni e standard

Il par. 3 prevede che un meccanismo di certificazione approvato a norma dell'art. 42 possa essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai par. 1 e 2. Schemi rilevanti: ISO 27701, Europrivacy, schemi nazionali. La certificazione è volontaria ma facilita l'audit e riduce il rischio sanzionatorio. Per le PMI, l'EDPB ha promosso l'uso di toolkit semplificati che attuano privacy by design senza framework pesanti. Il privacy by design è oggi standard di mercato per applicazioni B2C e B2B sensibili.

Regola pratica e checklist operativa

Compliance art. 25: (i) integrare privacy nel SDLC (Software Development Life Cycle); (ii) review preliminare di nuovi progetti con DPO; (iii) configurazioni di default privacy-elevate; (iv) data minimization tools; (v) pseudonimizzazione e cifratura by design; (vi) accessi RBAC; (vii) audit log automatici; (viii) certificazioni come prova. È il differenziatore tra compliance reattiva e proattiva.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.