Data protection by default: trattare solo i dati personali necessari per ogni specifica finalità

Data controllers should make the notions of “by design” and “by default” key building blocks of their data processing operations and invest in relevant best practice implementations[1].

Questa breve frase è una raccomandazione fondamentale per i titolari del trattamento, i quali dovrebbero fondare le operazioni di trattamento sui concetti di protezione dei dati personali fin dalla progettazione (data protection by design) e protezione dei dati per impostazione predefinita (data protection by default)[2].
I due principi vengono descritti nell’art. 25 del GDPR[3]: mentre il primo comma dell’articolo richiede che il titolare “al momento di determinare i mezzi del trattamento e all’atto del trattamento” predisponga misure tecniche ed organizzative adeguate per attuare i principi di protezione dei dati definiti nell’art. 5 del GDPR[4], esplicitando il principio di protezione dei dati personali fin dalla progettazione, il secondo comma richiede invece che il titolare tratti solo i dati necessari per ogni specifica finalità, esprimendo il principio di protezione dei dati personali per impostazione predefinita. Se il primo concetto determina l’applicazione di ogni principio indicato nell’art. 5 del GDPR[5], la data protection by default si basa sul principio della necessità[6], termine che racchiude in sé i principi di minimizzazione dei dati, di limitazione della conservazione e di limitazione delle finalità, i quali concorrono alla determinazione dei dati personali necessari per ogni specifico trattamento.

Per quanto i principi di data protection by design e by default siano strettamente connessi, l’articolo approfondirà nello specifico il secondo concetto, descrivendo l’importanza delle impostazioni predefinite e le modalità di definizione delle stesse.

Le impostazioni predefinite

Le impostazioni predefinite (default settings) sono valori pre-configurati e automaticamente assegnati ad un sistema o ad un servizio[7]. Queste impostazioni sono definite dal titolare del trattamento e non variano senza l’intervento dell’utente[8].

Le impostazioni predefinite sono un parametro importante per consentire agli interessati un uso semplice ed intuitivo di sistemi e applicazioni, evitando di chiedere loro di effettuare numerose e talvolta complesse scelte, che ostacolerebbero la funzionalità generale. In questo senso l’interazione dell’interessato viene ridotta per contribuire alla creazione di sistemi user-friendly, senza gravare di conseguenza sull’esperienza di utilizzo dell’interessato stesso[9].

L’idea alla base del principio di data protection by default è che le caratteristiche “invadenti” in relazione al trattamento dei dati personali degli utenti di un determinato servizio siano inizialmente limitate a ciò che è necessario per il semplice utilizzo di esso[10]. Occorre tuttavia prestare attenzione in modo che le impostazioni predefinite di protezione dei dati non siano tali da rendere il sistema o l’applicazione difficile o addirittura impossibile da usare[11]: si pensi alle scelte take it or leave it (prendere o lasciare) relative alla privacy, tra le quali spicca il fenomeno dei tracking walls (muri di tracciamento). Mediante questi “muri” i titolari del trattamento chiedono il consenso per molteplici finalità di trattamento, tra le quali la profilazione, specificando che senza il consenso non è possibile usufruire dei servizi del sito[12]. Questo è un chiaro esempio di come spesso i servizi non adottino un approccio data protection first e quindi non blocchino funzionalità aggiuntive, tra cui la profilazione, non dando neppure la possibilità all’interessato di sceglierle liberamente prestando il consenso in modo esplicito ed inequivocabile[13].

Il principio di protezione dei dati per impostazione predefinita prevede che di default l’interessato sia già protetto dai rischi per la propria privacy[14]. La definizione dei valori predefiniti determina infatti la modalità con cui un sistema opera se nulla viene modificato. Considerando però che la maggior parte degli interessati non modifica le impostazioni predefinite[15] dei servizi utilizzati, un approccio che pone la protezione dei dati personali al primo posto è determinante. Impostazioni predefinite che siano privacy friendly devono essere considerate un punto di partenza, dal quale il titolare deve sviluppare un sistema che possa supportare l’interessato nello scegliere la configurazione migliore a seconda delle proprie esigenze[16].

Detto questo, è opportuno ribadire che il titolare del trattamento è il principale attore responsabile in relazione alla definizione delle impostazioni predefinite ed è fondamentale che implementi adeguate misure tecniche ed organizzative, anche in riferimento all’art. 32 del GDPR[17], in modo tale che siano trattati solo i dati personali necessari per ogni specifica finalità. Le impostazioni scelte inoltre devono essere adeguatamente documentate e giustificate[18], in applicazione del principio di responsabilizzazione (accountability) che impone l’obbligo in capo al titolare di dimostrare in ogni momento il rispetto dei principi descritti nel GDPR.

I criteri fondamentali

Il principio di data protection by default deve essere applicato in relazione alla “quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità”[19]. Da ciò si definiscono i quattro criteri fondamentali per il rispetto del principio di data protection by default. Nonostante ogni criterio venga esaminato separatamente, bisogna necessariamente adottare un approccio olistico, in quanto i quattro criteri tendono a sovrapporsi al momento della determinazione delle impostazioni predefinite[20].

È necessario in primo luogo raccogliere la minima quantità di dati personali, in modo tale che vengano raccolti solo i dati necessari per ogni specifica finalità. Non si tratta solo di raccogliere una minima quantità di dati, ma anche di adottare un approccio qualitativo, applicando se del caso specifiche misure tecniche di sicurezza, come la pseudonimizzazione o la cifratura dei dati[21], che possano realizzare una minimizzazione “qualitativa” dei dati (anche successivamente alla raccolta)[22][23]. Si pensi alle applicazioni di messaggistica istantanea: nel definire le impostazioni predefinite è necessario considerare cosa viene comunicato agli altri utenti in aggiunta all’invio del messaggio tra mittente e destinatario. L’ora dell’ultimo accesso, la conferma di lettura di un messaggio, l’informazione relativa al fatto che l’altro utente stia scrivendo un messaggio oppure l’immagine di profilo sono tutte informazioni aggiuntive che meritano un’opportuna valutazione in merito all’implementazione o meno di default. Whatsapp per esempio rende visibili a chiunque per impostazione predefinita le conferme di lettura, l’ultimo accesso e l’immagine del profilo[24]. Tuttavia, un approccio data protection friendly dovrebbe ridurre al minimo queste informazioni, dando la possibilità all’interessato di scegliere quali informazioni inviare agli utenti con cui intende comunicare[25].

In secondo luogo, il trattamento deve avere la minima portata possibile. Minimizzare la portata del trattamento significa ridurre l’estensione delle operazioni di trattamento in relazione alle specifiche finalità, diminuendo quindi i rischi per i diritti e le libertà dell’interessato. Le operazioni di trattamento devono sempre essere giustificate in relazione alla finalità che si intende perseguire. Il titolare deve quindi astenersi dall’effettuare un’operazione di trattamento sproporzionata oppure di cui è possibile fare a meno[26]. Per esempio, nel caso in cui un utente acceda ad un sito web, un trattamento che comporti la profilazione risulta eccedente rispetto al semplice trattamento dei dati necessari per la fruizione del sito da parte dell’interessato[27].

Secondo il terzo criterio, per implementare la data protection by default il periodo di conservazione dei dati deve essere minimo. L’esigenza è quella di definire il minimo periodo di conservazione per ogni finalità, che potrebbe determinare anche la scelta di non conservare alcun dato oppure di anonimizzare o cancellare i dati il prima possibile una volta esauritasi la loro utilità. Si consideri il caso di un’azienda che riceve diverse candidature per un’opportunità lavorativa. Il datore di lavoro deve mantenere i dati dei candidati la cui candidatura non è andata a buon fine solo fino alla conclusione della selezione. Una volta conclusa, il datore di lavoro deve cancellare i dati dei candidati non selezionati perché in questo caso è sufficiente il periodo di conservazione pari alla durata della specifica selezione. Se però i candidati esprimono il consenso affinché il loro dati vengano conservati per un periodo di tempo maggiore per poter ricevere ulteriori proposte di lavoro in futuro, in tal caso il datore di lavoro è legittimato alla conservazione[28].

Infine, i titolari devono garantire la minima accessibilità ai dati, definendo i diritti di accesso ai dati. Questa operazione deve essere basata sul principio del need to know (necessità di conoscere), che permette di limitare l’accesso alle sole informazioni per le quali l’utente ha necessità di avere accesso[29], in base ai compiti assegnati. La minima accessibilità è realizzabile attraverso la distribuzione dei dati in server e database posizionati in diverse location, definite a seconda della finalità di trattamento. Da ricordare che l’accessibilità ai dati aumenta se vengono create copie degli stessi oppure se vengono comunicati ad una pluralità di soggetti. Infatti, il secondo comma dell’art. 25 del GDPR previene eventuali abusi specificando che i dati “non siano resi accessibili […] a un numero indefinito di persone fisiche senza l’intervento della persona fisica (N.d.A. l’interessato)”. Questa indicazione nega la possibilità che un’impostazione che permetta la pubblicazione dei dati ad una platea indefinita possa essere implementata di default. Per esempio, nel caso di un social network, è opportuno che il profilo degli utenti sia configurato in modo da rispettare quanto più possibile la loro privacy, limitando quindi di default l’accessibilità del profilo solo ad una specifica cerchia di contatti[30], ma dando comunque la possibilità all’interessato di selezionare a sua discrezione l’impostazione “profilo pubblico”.

“When it comes to privacy, default settings matter!”

Questa esclamazione è il titolo di un articolo pubblicato nel blog di Mozilla[31], la comunità del software libero che sviluppa il browser web Firefox, e rappresenta un cambio di direzione nella definizione di specifiche impostazioni predefinite relative al tracciamento degli utenti durante la navigazione. Nello specifico, l’articolo descrive l’implementazione in Firefox della Enhanced Tracking Protection (protezione avanzata del tracciamento) come impostazione di default. Questa nuova caratteristica blocca i cookie di tracciamento di terze parti (come per esempio i cookie di Google Analytics) utilizzati per profilare i comportamenti degli utenti online per proporre annunci pubblicitari mirati[32]. Non vengono comunque bloccati i cookie di funzionalità, necessari al funzionamento e alla normale fruizione di un sito web. L’iniziativa di Mozilla, nata come ferma risposta ai diversi scandali globali relativi alla violazione della privacy degli utenti[33], costituisce un ottimo tentativo per porre al primo posto la privacy degli interessati.

“We believe that in order to truly protect people, we need to establish a new standard that puts people’s privacy first”[34].

Viene lasciata piena libertà agli utenti che possono anche visionare l’elenco dei cookie traccianti bloccati, cliccando su un piccolo scudo posizionato sulla sinistra della barra degli indirizzi del browser, per consentire eventualmente di disattivare il blocco per uno specifico sito[35]. Il blocco dei cookie di tracciamento di terze parti determina quindi una barriera invalicabile contro la profilazione indiscriminata, superabile solo grazie al consenso esplicito degli interessati.

Less is more

“Meno è meglio”, una semplice espressione che riassume in modo chiaro cosa significa implementare la protezione dei dati per impostazione predefinita. Minimizzare la quantità dei dati, la portata del trattamento, il periodo di conservazione e l’accessibilità significa in definitiva porre al centro di un qualsiasi trattamento i diritti dell’interessato, applicando nel concreto un approccio privacy friendly, che posizioni al primo posto la protezione dei dati personali, soprattutto in un ecosistema digitale di servizi ed applicazioni che non prestano sempre attenzione ai dati degli utenti[36]. Si consideri quindi il concetto che dovrebbe diventare il mantra di un qualsiasi titolare del trattamento per una corretta e consapevole attuazione del principio di protezione dei dati personali per impostazione predefinita:

“Privacy shouldn’t be relegated to optional settings.”[37]

 

[1] ENISA – European Network and Information Security Agency, Recommendations on shaping technology according to GDPR provisions. Exploring the notion of data protection by default, 28 gennaio 2019, p. 5, https://www.enisa.europa.eu/publications/recommendations-on-shaping-technology-according-to-gdpr-provisions-part-2

[2] Per approfondire: A. Rovesti, Data protection by design e by default, 29 maggio 2018, https://www.iusinitinere.it/data-protection-by-design-e-by-default-9909

[3] Art. 25 del Regolamento (UE) n. 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati,

[4] Ibid, art. 5.

[5] Ibid.

[6] V. supra n. 1, p. 12.

[7] Macmillan, default setting, https://www.macmillandictionary.com/dictionary/british/default-setting

[8] V. supra n. 1, p. 10.

[9] V. supra. n. 1, p. 27.

[10] EDPB – European Data Protection Board, Opinion of the European Data Protection Supervisor on the data protection reform package, pp. 29-30, https://edps.europa.eu/sites/edp/files/publication/12-03-07_edps_reform_package_en.pdf

[11] V. supra n. 1, p. 27.

[12] L. D’Avenia, Adeguamento al GDPR: i siti web e le piattaforme on line erigono il Tracking Wall e costringono gli utenti al Take it or leave it, 14 giugno 2018,  https://www.dataprotectionlaw.it/2018/06/14/gdpr-siti-web-tracking-wall-take-it-leave-it/

[13] ENISA – European Network and Information Security Agency, Privacy and data Protection by Design, p. 11, https://www.enisa.europa.eu/publications/privacy-and-data-protection-by-design

[14] Ibid, p. 11.

[15] V. supra n. 1, p. 11.

[16] V. supra n. 1, p. 27.

[17] V. supra n. 3, art. 32.

[18] V. supra n. 1, p. 35.

[19] V. supra n. 3, art. 25, comma 2.

[20] V. supra n. 1, p. 22.

[21] Per approfondire la pseudonimizzazione e la cifratura dei dati: D. Stefanello, Come proteggere i dati personali? Anonimizzazione, pseudonimizzazione e cifratura a confronto, https://www.iusinitinere.it/come-proteggere-i-dati-personali-anonimizzazione-pseudonimizzazione-e-cifratura-a-confronto-17616

[22] V. supra n. 1, p. 22-23.

[23] Una minimizzazione “qualitativa” comporta il preferire i dati personali comuni (nome, cognome, indirizzo, etc.) ai dati particolari, descritti nell’art. 9 del GDPR (v. supra n. 3, art. 9) e che presentano un più elevato livello di rischio. Allo stesso modo, i dati anonimizzati (che non consentono più l’identificazione dell’interessato) dovrebbero essere preferiti ai dati pseudonimizzati (che permettono l’identificazione dell’interessato con l’uso di informazioni aggiuntive), i quali invece dovrebbero essere preferiti ai dati non pseudonimizzati (dati in chiaro).

[24] Whatsapp, Configurare le impostazioni sulla privacy,

[25] V. supra n. 1, p. 24.

[26] Ibid.

[27] V. supra. n. 1, p. 25.

[28] ICO – Information Commissioner’s Office, Storage limitation, https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/principles/storage-limitation/

[29] G. Rizzato e M. Rizzi, Garantire l’accesso in sicurezza ai dati aziendali: quali misure tecniche e organizzative implementare?, 17 ottobre 2018, https://www.cybersecurity360.it/esperto-risponde/garantire-laccesso-in-sicurezza-ai-dati-aziendali-quali-misure-tecniche-e-organizzative-implementare/

[30] Commissione europea, Cosa significa protezione dei dati «fin dalla progettazione» e «di default»?, https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/what-does-data-protection-design-and-default-mean_it

[31] The Mozilla Blog, https://blog.mozilla.org/

[32] N. Bernardi, Stop ai cookie, privacy “by default” e utenti meno spiati sul web con Firefox, 7 giugno 2019, https://www.federprivacy.org/informazione/punto-di-vista/item/896-stop-ai-cookies-privacy-by-default-e-utenti-meno-spiati-sul-web-con-firefox

[33] D. Camp, Firefox Now Available with Enhanced Tracking Protection by Default Plus Updates to Facebook Container, Firefox Monitor and Lockwise, 4 giugno 2019, https://blog.mozilla.org/blog/2019/06/04/firefox-now-available-with-enhanced-tracking-protection-by-default/

[34] P. Dolanjski, When it comes to privacy, default settings matter!, 4 giugno 2019, https://blog.mozilla.org/blog/2019/06/04/when-it-comes-to-privacy-default-settings-matter/

[35] V. supra n. 33.

[36] Per approfondire: Forbrukerrådet (Consiglio norvegese dei consumatori), Deceived by Design – How tech companies use dark patterns to discourage us from exercising our rights to privacy, https://fil.forbrukerradet.no/wp-content/uploads/2018/06/2018-06-27-deceived-by-design-final.pdf

[37] V. supra n. 34.