La privacy va tutelata fin dalla fase di progettazione di un prodotto o di un servizio. L’Autorità, in applicazione del Regolamento Ue, ha ingiunto per la prima volta a un fornitore di servizi di geolocalizzazione, di incorporare il “diritto alla privacy” direttamente nelle funzionalità del prodotto, attenendosi al principio di minimizzazione dei dati e a quello di privacy by design e by default. Il cliente potrà cosi usufruire di un sistema pienamente adattabile alle proprie esigenze organizzative e di sicurezza.
Forniture in linea con la privacy. I prodotti/servizi forniti a imprese e p.a. devono essere progettati e configurati in base ai principi della privacy fin dalla progettazione («by design») e privacy come impostazione predefinita («by default»). Lo impone il regolamento Ue sulla privacy (2016/679, operativo dal 25 maggio 2018). In caso contrario il Garante può ordinare di aggiornare funzioni e modalità di funzionamento direttamente al fornitore. Come è successo a un fornitore di sistemi Gps, raggiunto dall'ordine di aggiornare la versione del sistema venduto a una impresa (provvedimento n. 396 del 28 giugno 2018).
Il legislatore europeo con il Regolamento UE 2016/679 ha apportato una svolta epocale all’articolato concetto del trattamento dei dati ponendo l’attenzione proprio sulla protezione dei dati personali. A causa dell’intangibilità di tali informazioni non vi è la consapevolezza, da parte degli interessati e di tutti i soggetti autorizzati al trattamento, dell’inestimabile valore dei dati personali che quotidianamente sono trattati o… maltrattati.
I sistemi di videosorveglianza sia che perseguano finalità di “security” che di mera “tutela del patrimonio” devono essere progettati tenendo conto, sotto il profilo della protezione dei dati personali dei principi della c.d. privacy by design e by default. Con l’espressione data protection by design , disciplinata dal paragrafo 1 dell’articolo 25 del RGPD 679/2016, si intende l’obbligo in capo al Titolare, tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura e delle finalità del trattamento, di mettere in atto misure tecniche e organizzative adeguate, per integrare nel trattamento le necessarie garanzie volte a tutelare i diritti degli interessati.
Il principio della privacy by design richiede che la tutela dei diritti e delle libertà degli interessati con riguardo al trattamento dei dati personali comporti l'attuazione di adeguate misure tecniche e organizzative al momento sia della progettazione che dell'esecuzione del trattamento stesso, onde garantire il rispetto delle disposizioni del Regolamento UE 2016/679.
Negli ultimi tempi la tecnologia ha fatto davvero passi da gigante ed ormai sta cambiando progressivamente il nostro modo di lavorare, di interagire e quindi di vivere nella nostra società grazie all’avvento di sofisticati dispositivi tecnologici che sfruttano le innumerevoli potenzialità che li contraddistinguono. Indubbiamente negli ultimi tempi il settore dei trasporti è tra i più interessati sul fronte dell’innovazione tecnologica, tant’è vero che si parla sempre di più di trasporto intelligente, obiettivo fondamentale anche dell’agenda digitale europea.
L’European Data Protection Board (EDPB), nell’ambito dei propri compiti e per promuovere l’applicazione coerente del Regolamento UE 679/2016, ha adottato in data 13 novembre 2019 un progetto di linee guida (4/2019), sottoposto a pubblica consultazione sino al 16 gennaio 2020. Successivamente, effettuate eventuali modifiche, le Linee Guida verranno definitamente adottate.
Una delle novità più rilevanti, ma al tempo stesso più sfuggenti ed ineffabili, del GDPR è l’introduzione del principio di privacy by design (PbD, o protezione dei dati sin dalla progettazione, secondo la traduzione italiana riportata in Gazzetta Ufficiale), di cui all’art. 25 del noto Regolamento Europeo n. 679/2016. Nell’ambito del complesso dibattito in materia di privacy, la PbD – la cui maternità è tecnicamente e storicamente attribuita ad Ann Cavoukian, studiosa e fino al 2014 Garante privacy dello Stato canadese dell’Ontario – ha fatto emergere posizioni contrastanti.
Mano pesante del Garante per la privacy greco che ha sanzionato per 400 mila euro la OTE per violazione dei princìpi di accuratezza e di “privacy by design”, nonchè del diritto di opposizione previsto dal Gdpr.
