Privacy by Design e Privacy by Default: cosa significa per le aziende (Art. 25 GDPR)
Guida pratica a Privacy by Design e Privacy by Default secondo l'Art. 25 GDPR: principi, obblighi concreti per aziende e sviluppatori, esempi applicativi e sanzioni per violazioni.
Ordine degli Avvocati di Sciacca n. 747 · Avvocato e Full-Stack Developer · Diritto IT & Privacy
Cosa sono Privacy by Design e Privacy by Default?
Privacy by Design significa integrare la protezione dei dati personali fin dalla fase di progettazione di un prodotto, servizio o sistema, non aggiungerla in un secondo momento. Privacy by Default significa che per impostazione predefinita vengono trattati solo i dati strettamente necessari, senza che l'utente debba fare nulla per tutelare la propria privacy. Entrambi i principi sono obbligatori ai sensi dell'Art. 25 del Regolamento (UE) 2016/679 (GDPR).
Privacy by Design e Privacy by Default non sono concetti astratti: l'Art. 25 del GDPR impone obblighi concreti ai titolari del trattamento, con sanzioni fino a 10 milioni di euro o il 2% del fatturato mondiale per le violazioni (Art. 83, par. 4, GDPR). Questi principi si applicano a chiunque sviluppi o gestisca prodotti, servizi, applicazioni o sistemi che trattano dati personali — dai team di sviluppo software alle aziende che acquistano soluzioni SaaS.
Fonti normative: Art. 25 Reg. UE 2016/679 (GDPR) – EUR-Lex · Linee Guida 4/2019 EDPB su Privacy by Design e Default · [Considerando 78 GDPR]
Cosa prevede l'Art. 25 del GDPR?
L'Art. 25 del GDPR stabilisce due obblighi distinti:
Art. 25.1 — Privacy by Design (Protezione fin dalla progettazione)
Il titolare del trattamento deve, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso, mettere in atto misure tecniche e organizzative adeguate, come la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie per tutelare i diritti degli interessati.
In pratica: la privacy deve essere progettata, non rattoppata.
Art. 25.2 — Privacy by Default (Impostazioni predefinite)
Il titolare deve garantire che, per impostazione predefinita, vengano trattati solo i dati personali necessari per ogni specifica finalità del trattamento. Questo vale per:
- La quantità di dati raccolti
- La portata del trattamento
- Il periodo di conservazione
- L'accessibilità dei dati
Per impostazione predefinita i dati personali non devono essere resi accessibili a un numero indefinito di persone fisiche, senza l'intervento dell'individuo.
Esempi pratici di Privacy by Design
| Contesto | Approccio senza Privacy by Design | Approccio con Privacy by Design |
|---|---|---|
| Form di registrazione | Tutti i campi obbligatori, inclusi quelli non necessari | Solo i campi strettamente necessari obbligatori |
| App mobile | Accesso a rubrica, posizione e fotocamera per default | Richiesta di permessi solo quando necessari per la funzione |
| Sistema CRM | Tutti i collaboratori vedono tutti i dati clienti | Accessi limitati per ruolo (RBAC) |
| Piattaforma SaaS | Log di tutte le attività utente conservati indefinitamente | Retention automatica limitata al necessario |
| Sito e-commerce | Cookie di profilazione attivi senza consenso | Cookie non tecnici disattivati per default |
| Database | Dati in chiaro facilmente accessibili | Pseudonimizzazione o cifratura by default |
Esempi pratici di Privacy by Default
Privacy by Default significa che le impostazioni di fabbrica — cioè quelle che l'utente trova senza fare nulla — devono corrispondere al massimo livello di privacy, non al minimo. Esempi:
- Social network e piattaforme digitali: il profilo utente deve essere privato per impostazione predefinita; l'utente può scegliere di renderlo pubblico, non il contrario
- Newsletter e marketing: l'iscrizione deve essere un'azione attiva (opt-in), non una casella pre-spuntata
- Condivisione dei dati con terzi: l'opzione deve essere disattivata per default
- Geolocalizzazione in app: deve essere disattivata per default e attivabile dall'utente solo quando serve alla funzione
Nota redazionale. Il principio di Privacy by Default non impone che il sistema offra solo la configurazione più restrittiva in assoluto, ma che la configurazione iniziale — quella che l'utente trova senza intervento — sia già conforme al principio di minimizzazione. L'utente può poi scegliere di condividere più dati, ma questa deve essere una scelta attiva e informata.
Chi è tenuto a rispettare l'Art. 25 GDPR?
L'obbligo riguarda i titolari del trattamento (Art. 25.1 e 25.2) ma, con specifico riferimento al by design, indirettamente anche i produttori di tecnologia (considerando 78 GDPR): "i produttori dei prodotti, dei servizi e delle applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati quando sviluppano e progettano tali prodotti, servizi e applicazioni."
In pratica, i responsabili del trattamento (fornitori SaaS, cloud provider, sviluppatori di software) devono mettere a disposizione del titolare soluzioni che consentano il rispetto dell'Art. 25. Il titolare, a sua volta, deve selezionare fornitori e strumenti già progettati con questi principi.
Privacy by Design nell'AI Act
Il coordinamento tra GDPR e AI Act (Reg. UE 2024/1689) rafforza ulteriormente la rilevanza del Privacy by Design. L'AI Act impone per i sistemi IA ad alto rischio obblighi specifici di trasparenza, governance dei dati e misure di sicurezza che si sovrappongono ai requisiti dell'Art. 25 GDPR. Per le aziende che sviluppano o implementano sistemi IA, Privacy by Design non è più solo un obbligo GDPR: diventa il presupposto per la conformità all'AI Act.
Per approfondire l'AI Act, consulta il nostro articolo AI Act: guida completa per le aziende italiane.
Come documentare il rispetto dell'Art. 25 GDPR
L'accountability (Art. 5.2 GDPR) impone di dimostrare il rispetto dei principi, non solo di rispettarli. Per l'Art. 25, la documentazione include tipicamente:
- Privacy impact assessment nelle fasi di progettazione (es. durante sprint di sviluppo software)
- Documenti di architettura che descrivono le scelte tecniche orientate alla privacy
- Policy interne su accessi, gestione dei permessi, pseudonimizzazione
- Audit di sicurezza e test di penetrazione periodici
- DPIA (Art. 35 GDPR) per i trattamenti ad alto rischio
Una buona pratica è includere un "privacy design review" nel ciclo di sviluppo del software (SDLC), al pari dei test di sicurezza.
Sanzioni per violazione dell'Art. 25 GDPR
Le violazioni degli obblighi di Privacy by Design e Privacy by Default rientrano nell'Art. 83, par. 4, GDPR, con sanzioni fino a:
- 10.000.000 EUR, oppure
- 2% del fatturato mondiale annuo dell'esercizio precedente (se superiore)
Alcune autorità di controllo europee hanno sanzionato specificamente la violazione dell'Art. 25 GDPR, in particolare per impostazioni predefinite che raccoglievano più dati del necessario o rendevano accessibili i profili utente per default.
FAQ – Privacy by Design e Privacy by Default
Privacy by Design è obbligatorio o solo una raccomandazione? È un obbligo giuridico ai sensi dell'Art. 25.1 del GDPR, non una best practice opzionale. Il mancato rispetto è sanzionabile dall'autorità di controllo competente.
Privacy by Design si applica solo al software? No. Si applica a qualsiasi sistema, processo o servizio che tratti dati personali, inclusi processi organizzativi, modulistica cartacea, sistemi CRM acquistati da terzi, procedure HR, ecc.
Come si differenzia Privacy by Design dalla sicurezza dei dati (Art. 32 GDPR)? L'Art. 32 riguarda le misure di sicurezza per proteggere i dati da accessi non autorizzati, violazioni e perdita. L'Art. 25 riguarda la minimizzazione e la proporzionalità del trattamento già nella fase di progettazione. I due obblighi si sovrappongono (es. la cifratura risponde a entrambi) ma hanno finalità diverse: l'Art. 32 protegge da minacce esterne, l'Art. 25 limita il trattamento alla sua necessità minima.
Un'azienda che acquista un software SaaS deve verificare il Privacy by Design del fornitore? Sì. Il titolare è responsabile anche delle scelte dei responsabili del trattamento. Nella due diligence sul fornitore SaaS è opportuno verificare che il prodotto rispetti l'Art. 25 GDPR: impostazioni predefinite orientate alla privacy, minimizzazione dei dati raccolti, controllo degli accessi per ruolo, log di audit.
Privacy by Default vieta di raccogliere più dati se l'utente lo vuole? No. Privacy by Default impone che la configurazione iniziale rispetti la minimizzazione. L'utente può poi scegliere di fornire più dati per accedere a funzionalità aggiuntive, purché questo sia frutto di una scelta informata e attiva.
Quando serve una consulenza personalizzata su Privacy by Design?
Il rispetto dell'Art. 25 GDPR richiede un'analisi tecnico-legale della progettazione del prodotto o servizio. Non è sufficiente una dichiarazione generica: occorre documentare le scelte progettuali orientate alla privacy e dimostrarle in caso di audit.
È opportuno coinvolgere un legale specializzato nelle fasi di progettazione di nuovi prodotti digitali, nello sviluppo di applicazioni che trattano dati sensibili, nell'adozione di nuovi sistemi IA, o nella revisione di architetture esistenti in vista di un audit del Garante.
Disclaimer informativo. I contenuti di questa pagina hanno finalità informativa generale e non costituiscono consulenza legale. Le disposizioni del GDPR richiedono un'analisi applicata al caso concreto. Per ogni valutazione specifica è necessario rivolgersi a un professionista abilitato.
Ultimo aggiornamento editoriale: aprile 2026. Fonti: Art. 25, considerando 78 Reg. UE 2016/679 (GDPR); Linee Guida 4/2019 EDPB su Art. 25 Privacy by Design e Default.
Autore
Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.
Profilo completo e competenze tecniche →