Nonostante le rassicurazioni di Google, a quanto pare Privacy Sandbox non verrà appoggiata dagli editori tedeschi. Alex Springer (proprietario di Bild, Politico e Business Insider) e altre aziende del settore hanno infatti chiesto l'intervento della Commissione europea per bloccare l'entrata in vigore dell'iniziativa prevista nel corso del 2023. Il progetto Privacy Sandbox è stato avviato da Google nel 2019 con l'obiettivo di trovare un'alternativa ai cookie di terze parti per applicare i principi stabiliti all’art. 25 del Gdpr sulla “Data Protection by Design e by Default” in merito al tracciamento dei propri utenti.
La privacy va tutelata fin dalla fase di progettazione di un prodotto o di un servizio. L’Autorità, in applicazione del Regolamento Ue, ha ingiunto per la prima volta a un fornitore di servizi di geolocalizzazione, di incorporare il “diritto alla privacy” direttamente nelle funzionalità del prodotto, attenendosi al principio di minimizzazione dei dati e a quello di privacy by design e by default. Il cliente potrà cosi usufruire di un sistema pienamente adattabile alle proprie esigenze organizzative e di sicurezza.
Forniture in linea con la privacy. I prodotti/servizi forniti a imprese e p.a. devono essere progettati e configurati in base ai principi della privacy fin dalla progettazione («by design») e privacy come impostazione predefinita («by default»). Lo impone il regolamento Ue sulla privacy (2016/679, operativo dal 25 maggio 2018). In caso contrario il Garante può ordinare di aggiornare funzioni e modalità di funzionamento direttamente al fornitore. Come è successo a un fornitore di sistemi Gps, raggiunto dall'ordine di aggiornare la versione del sistema venduto a una impresa (provvedimento n. 396 del 28 giugno 2018).
Il legislatore europeo con il Regolamento UE 2016/679 ha apportato una svolta epocale all’articolato concetto del trattamento dei dati ponendo l’attenzione proprio sulla protezione dei dati personali. A causa dell’intangibilità di tali informazioni non vi è la consapevolezza, da parte degli interessati e di tutti i soggetti autorizzati al trattamento, dell’inestimabile valore dei dati personali che quotidianamente sono trattati o… maltrattati.
Le linee Guida n. 3/2019 dei Garanti Europei sul “trattamento dei dati personali attraverso dispositivi video” del 29 Gennaio 2020 affrontano il tema dell’applicazione dei principi della privacy by design e by default ad un sistema di videosorveglianza. Il Regolamento UE 679/2016 non fornisce una definizione di “videosorveglianza”, mentre una descrizione tecnica è contenuta nella norma CEI EN 62676-1-1, alla quale si rifanno le recenti Linee Guida 3/2019 adottate dall’European Data Protection Board.
I sistemi di videosorveglianza sia che perseguano finalità di “security” che di mera “tutela del patrimonio” devono essere progettati tenendo conto, sotto il profilo della protezione dei dati personali dei principi della c.d. privacy by design e by default. Con l’espressione data protection by design , disciplinata dal paragrafo 1 dell’articolo 25 del RGPD 679/2016, si intende l’obbligo in capo al Titolare, tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura e delle finalità del trattamento, di mettere in atto misure tecniche e organizzative adeguate, per integrare nel trattamento le necessarie garanzie volte a tutelare i diritti degli interessati.
La raccolta ed il trattamento dei dati personali per finalità di profilazione e di marketing personalizzato è uno, se non il maggiore, dei pilastri della Rivoluzione digitale. Giganti dell’industria 4.0 come Google e Facebook non sarebbero mai sorti senza l’apporto economico dato dal modello di business della pubblicità targettizzata. Negli ultimi anni, però, abbiamo assistito a numerosi scandali provocati da “massive” violazioni di dati personali, come nel recente caso di Linkedin, o del loro utilizzo per fini poco leciti come nel caso Cambridge Analytica.
Nessuna responsabilità in relazione al trattamento dei dati personali è attribuita dalla normativa eurounitaria sulla privacy (GDPR) ai produttori degli strumenti utilizzati da titolari e responsabili per eseguire i trattamenti.
La European Union Agency for Cybersecurity (ENISA) ha pubblicato un rapporto sul tema della ingegnerizzazione del processo di protezione dei dati personali. Dopo aver discusso alcune sfide nella condivisione di dati personali, il rapporto mostra come ingegnerizzare tecnologie e tecniche specifiche per consentire la condivisione di dati che preservano i dati personali.
L’eliminazione di un trattamento di dati personali è una delle componenti del “ciclo di vita del trattamento”, spesso trascurata; essa si compone di due fasi: l’interruzione del trattamento vero e proprio, ovvero il Titolare non raccoglie più dati afferenti a quel trattamento; e l’eliminazione definitiva ed irreversibile dei dati che il Titolare conserva, afferenti a quel trattamento. In questo articolo, si presenta un esempio di estratto della procedura “Privacy by design” (principio previsto dall’art.25 del Gdpr) che riguarda l’interruzione e l’eliminazione del trattamento in un’organizzazione che dispone di un sistema di gestione della protezione dei dati ed in cui è presente la figura del DPO.
