Avv. Antonino Ingoglia - Diritto IT e Privacy
GDPR

Privacy by Design

Il principio che impone di integrare la protezione dei dati fin dalla fase di progettazione di prodotti, servizi e processi.

Definizione

Privacy by design è il principio previsto dall'art. 25 GDPR che impone al titolare del trattamento di integrare misure tecniche e organizzative adeguate per la protezione dei dati già nella fase di progettazione di prodotti, servizi o processi, e non a posteriori. Significa pensare alla privacy come requisito di sistema, non come funzionalità aggiuntiva.

Riferimenti normativi

GDPR, art. 25

«Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate.»

Implicazioni pratiche

Applicazione nello sviluppo software

Minimizzazione dei dati raccolta (raccogliere solo i dati necessari), cifratura dei dati sensibili per default, separazione tra dati identificativi e dati funzionali, gestione dei permessi di accesso granulare.

Privacy by default

Complementare al privacy by design: le impostazioni predefinite di un sistema devono essere quelle più protettive per la privacy (es. cookie analitici disabilitati per default, profili privati per default sui social).

Domande frequenti

Privacy by design si applica solo al software?

No. Il principio si applica a qualsiasi prodotto, servizio o processo che comporti trattamento di dati personali: moduli cartacei, procedure HR, sistemi di videosorveglianza, campagne di marketing.

Quali sanzioni per chi non rispetta privacy by design?

Violazioni dell'art. 25 GDPR sono soggette a sanzioni fino a 10 milioni di euro o al 2% del fatturato mondiale annuo. Diversi Garanti europei hanno sanzionato organizzazioni per sistemi progettati senza privacy by design.

Voci correlate

Base Giuridica del TrattamentoDPIA — Valutazione d'Impatto sulla Protezione dei DatiPseudonimizzazioneTrattamento dei Dati Personali
Nota informativa: I contenuti di questa voce hanno finalità divulgative e non costituiscono parere legale né instaurano un rapporto professionale. Il significato dei termini giuridici può variare in relazione al contesto specifico.
Torna al glossario

Hai una questione specifica sul Privacy by Design?

Prenota una consulenza online per un'analisi concreta della tua situazione.