privacy by design
L'attuale normativa in materia di Data Protection non prevede espressamente il concetto di privacy by design né di privacy by default. La direttiva europea però impone al titolare del trattamento l'adozione di misure tecniche od organizzative adeguate al fine di proteggere i dati personali da trattamenti illeciti.

L'art. 3 (Principio di necessità nel trattamento dei dati) del codice della privacy italiano, ad esempio, prevede: “I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità”.

La General Data Protection Regulation (GDPR) riconosce, invece, espressamente il concetto di privacy by design espandendo le previsioni dell'attuale normativa. Si tratta di un concetto già presente negli Usa e Canada e poi adottato nel 2010 nel corso della 32ma Conferenza mondiale dei Garanti privacy

La definizione di privacy by design per la prima volta fu coniata dall'Information and Privacy Commissioner dell'Ontario (Canada), nella persona della dottoressa Ann Cavoukian, che fu tra i promotori della risoluzione del 2010 e che poi ha assunto un ruolo di primo piano nello sviluppo del concetto di privacy by design. Questo approccio concettuale innovativo impone, quindi, alle aziende l'obbligo di avviare qualsiasi progetto introducendo fin dall'inizio gli strumenti a tutela dei dati personali.
I principi che reggono il sistema privacy sono i seguenti:
- prevenire non correggere, cioè i problemi vanno valutati nella fase di progettazione;
- privacy come impostazione di default;
- privacy incorporata nel progetto;
- massima funzionalità, in maniera da rispettare tutte le esigenze (rifiutando le false dicotomie quali più privacy = meno sicurezza);
- sicurezza durante tutto il ciclo del prodotto o servizio;
- trasparenza;
- centralità dell'utente.
Secondo quest'impostazione il sistema privacy deve essere user centric, cioè è l'utente che è al centro dell'intero sistema. Questo vuol dire che non è sufficiente una progettazione che sia conforme a norma se poi l'utente non è adeguatamente protetto.

La GDPR introduce il concetto di privacy by design, insieme a quello di privacy by default, con l'articolo 23 della bozza di riforma:

Article 23
Data protection by design and by default
1. Having regard to the state of the art and the cost of implementation and taking account of the nature, scope, context and purposes of the processing as well as the risks of varying likelihood and severity for rights and freedoms of individuals posed by the processing, the controller shall, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organisational measures, such as pseudonymisation, which are designed to implement data protection principles, such as data minimisation, in an effective way and to integrate the necessary safeguards into the processing in order to meet the requirements of this Regulation and protect the rights of data subjects.
2. The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed; this applies to the amount of data collected, the extent of their processing, the period of their storage and their accessibility. In particular, such measures shall ensure that by default personal data are not made accessible without the individual’s intervention to an indefinite number of individuals.
2a. An approved certification mechanism pursuant to Article 39 may be used as an element to demonstrate compliance with the requirements set out in paragraphs 1 and 2.

Dalla lettura del testo si nota immediatamente che l'approccio appare più centrato sulla protezione dei dati che sull'utente stesso, con un possibile passo indietro rispetto alla risoluzione del 2010.
L'approccio è quello suggerito dal Consiglio (e a favore del quale si è espressa anche l'Italia), basato sulla valutazione del rischio (risk based approach), con il quale si determina la misura di responsabilità del titolare o responsabile del trattamento tenendo conto della natura, la portata, il contesto e le finalità del trattamento, e la probabilità e la gravità dei rischi per i diritti e le libertà dei singoli. Secondo il Consiglio l'attuazione delle politiche di protezione dei dati deve essere proporzionale alle attività di trattamento.

La valutazione del rischio non è altro che la determinazione del valore quantitativo o qualitativo dei rischi connessi ad una situazione concreta o minaccia conosciuta.
La definizione di rischio è compresa nel testo della GDPR:

Considerando 60A
(60a) Such risks, of varying likelihood and severity, may result from data processing which could lead to physical, material or moral damage, in particular where the processing may give rise to discrimination, identity theft or fraud, financial loss, damage to the reputation, loss of confidentiality of data protected by professional secrecy, unauthorized reversal of pseudonymisation, or any other significant economic or social disadvantage; or where data subjects might be deprived of their rights and freedoms or from exercising control over their personal data; where personal data are processed which reveal racial or ethnic origin, political opinions, religion or philosophical beliefs, trade-union membership, and the processing of genetic data or data concerning health or sex life or criminal convictions and offences or related security measures; where personal aspects are evaluated, in particular analysing or prediction of aspects concerning performance at work, economic situation, health, personal preferences or interests, reliability or behaviour, location or movements, in order to create or use personal profiles; where personal data of vulnerable individuals, in particular of children, are processed; where processing involves a large amount of personal data and affects a large number of data subjects.

Considerando 60B
(60b) The likelihood and severity of the risk for the rights and freedoms of the data subject should be determined in function of the nature, scope, context and purposes of the data processing.
Risk should be evaluated based on an objective assessment, by which it is established whether data processing operations involve a risk or a high risk

Alcuni obblighi previsti nel GDPR si basano, appunto, sulla valutazione del rischio, ad esempio quelli di notifica ai Garanti nazionali o di comunicazione agli utenti (art. 31 e 32) in caso di violazioni dei dati, obblighi che scattano solo al superamento di un certo rischio.

Allo stesso modo anche la privacy by design è un obbligo assoggettato alla valutazione della probabilità dei rischi e alla gravità per i diritti e le libertà dei singoli.

Le aziende dovranno, quindi, valutare la natura della attività di trattamento contestualmente ai rischi che tali attività comportano per i diritti degli utenti, nel momento della progettazione delle politiche di trattamento. L'approccio basato sul rischio, riconoscendo che esistono diverse categorie di trattamenti e di conseguenti rischi, aiuta a capire come calibrare l'applicazione dei principi nel contesto, decidendo così quali sono le priorità, e determinando l'allocazione delle risorse in funzione della probabilità di rischio.
Nella pratica significa che gli obblighi devono essere proporzionati al rischio, e il livello di responsabilità si potrà elevare o ridurre in funzione del rischio percepito per l'attività. Questo approccio porta, quindi, a valutare maggiori attenzioni (e quindi obblighi più stringenti) per le ipotesi di trattamento dati di minori, dati sensibili, dati sanitari e finanziari e per i grandi insiemi di dati.
Ed è pacifico che gli obblighi variano nel tempo, in relazione allo stato della tecnologia e alle pratiche comuni attuate nel settore.

È evidente che rispetto ad una soluzione prescrittiva (one size fits all) che garantirebbe la conformità alle norme ma non necessariamente una tutela adeguata per i diritti dei cittadini, l'approccio risk-based da un lato è positivo proprio in quanto la mera conformità alla legge non è sufficiente, ma nel contempo, essendo le aziende nella migliore posizione per valutare il rischio connesso al tipo di trattamento, delega a queste la valutazione degli obblighi da attuare rispetto al caso concreto.
Si tratta di un approccio funzionale ad un alleggerimento da eccessivi oneri burocratici per le aziende e nel contempo introduce maggiore flessibilità (rispetto ad una soluzione one size fits all) rendendo la normativa più adattabile al mutare delle esigenze, in tal modo adeguandosi al velocissimo mutare della tecnologia. In sostanza valorizza la possibilità per le aziende di sfruttare economicamente i dati degli individui consentendo al contempo una protezione adeguata (al rischio) degli interessati. 

Ma al contempo si possono creare degli equivoci. L'approccio risk-based, infatti, stabilisce che si deve porre maggiore attenzione ai diritti fondamentali di un minore rispetto ad un adulto. Forse i diritti fondamentali di un adulto sono meno fondamentali di quelli di un bambino? Inoltre un approccio di tale tipo porta a ritenere necessaria una maggiore attenzione al trattamento di un grande insieme di dati, potendo determinare un danno potenzialmente maggiore. Anche qui, però, è palese che anche il trattamento di pochi dati può determinare potenzialmente un danno per i singoli soggetti.

Una soluzione risk-based, inoltre, rende più difficili le contestazioni in caso di violazioni. Il Garante dovrà, infatti, valutare l'organizzazione e l'allocazione delle risorse al fine di stabilire la sussistenza di una responsabilità dell'azienda. Inoltre l'attuazione degli obblighi sarà, inevitabilmente, differente a secondo delle dimensioni dell'azienda, essendo il rischio valutabile anche in relazione al costo e alle difficoltà di implementazione. È evidente che si potrà pretendere una attuazione più stringente per le aziende di maggiori dimensioni (e con maggiori profitti).

Per quanto riguarda l'aspetto complementare della privacy by default, tale principio stabilisce che per impostazione predefinita le imprese dovrebbero trattare solo i dati personali nella misura necessaria per le finalità previste e per il periodo strettamente necessario a tali fini.

La conseguenza pratica dell'introduzione dei due principi menzionati è che le aziende dovranno attuare un modello di valutazione dell'impatto privacy ogni qualvolta viene avviato un progetto o implementato un sistema. Occorre la revisione dei contratti standard per la ripartizione del rischio/responsabilità tra le parti. Infine si dovrà rivisitare il meccanismo di raccolta dei dati garantendo la non eccessività dei dati raccolti. Per ultimo vanno automatizzati i processi di cancellazione dei dati a seguito di richieste degli interessati.