Si sente nominare la privacy by design ormai da qualche anno, almeno dall’entrata in vigore del Regolamento UE 679/2016.
Ma che cos’è, o meglio, cosa si intende quando ci si riferisce al termine Privacy by design?
Il concetto di privacy si è evoluto e continuerà ad evolversi di pari passo con i mutamenti della società[1], influenzata, oggigiorno, soprattutto dall’evoluzione tecnologica.
Si è passati dal right to be let alone (diritto di essere lasciati soli) come pressoché unico modo di concepire la privacy – che beninteso non è scomparso ma è una delle tante sfaccettature della privacy stessa[2] – alla sua evoluzione come dritto di mantenere il controllo sui dati personali oggetto di trattamento da parte di terzi.
L’avanzare della tecnologica, che spinge verso una società sempre più digitalizzata, sta determinando, o meglio sta facendo emergere come predominante, la problematica legata alla “gestione” del fenomeno del trattamento dei dati personali, in cui non si pongono tanto problemi nuovi – o almeno non necessariamente – quanto la necessità che questi vengano affrontati con strumenti o approcci diversi.
Prendendo in prestito le parole di D.J. Solove si può affermare che: “La concezione della privacy deve rispondere alla realtà sociale, poiché la privacy è un aspetto delle pratiche sociali […] tuttavia la privacy non è neanche una questione solamente empirica; se ci concentrassimo semplicemente sulle attuali aspettative di privacy della gente, la nostra concezione di privacy si ridurrebbe continuamente data la crescente sorveglianza nel mondo moderno. Allora la privacy è anche una questione di potere, il prodotto di una visione della struttura sociale più ampia”.[3]
Il cambiamento della società tutta sta ridefinendo i confini di ciò che è possibile e non è possibile fare con i dati personali di altri soggetti, tanto che si è arrivati a un livello tale di “pervasività” nella sfera personale altrui – e le basi giuridiche di cui all’art. 6 GDPR, non più incentrate in maniera predominante sul consenso, stanno lì a dimostrarlo – che anche il diritto ha dovuto adeguarsi, e lo ha fatto, o almeno cerca di farlo in un modo molto intelligente, portandolo ad operare allo stesso livello della tecnica, cioè concependo il diritto stesso non tanto e non solo come “mero principio” da tenere in considerazione al momento di implementare il trattamento, o come tutela successiva nei confronti di un trattamento illecito di dati personali, ma come presupposto stesso della tutela.
Il diritto cioè, è portato ad operare ex ante, by design, laddove si progetta come verrà trattato il dato.
O per lo meno questo dovrebbe essere il senso dell’art. 25 GDPR: “Protezione dei dati (personali) fin dalla progettazione e protezione per impostazione predefinita”.
Alberto Pittau
________________________________________________________
[1] https://scholarship.law.gwu.edu/cgi/viewcontent.cgi?article=2086&context=faculty_publications pag. 1141
[2] https://www.agendadigitale.eu/sicurezza/privacy/privacy-e-protezione-dati-personali-cosa-sono-quali-differenze-cosa-e-cambiato-col-gdpr/ (in questo contributo il termine Privacy – esclusivamente per motivi legati alla fluidità del testo – sarà considerato come sinonimo di protezione dei dati personali)
[3] https://scholarship.law.gwu.edu/cgi/viewcontent.cgi?article=2086&context=faculty_publications pag. 1142
- “AI Chronicles”, il 1 Luglio un Convegno dedicato all’IA - 17 Giugno 2024
- Progetto ARC II, evento sul GDPR presso l’Università degli Studi di Cagliari - 6 Maggio 2024
- Nuovi scenari della giustizIA - 3 Ottobre 2022