AGCM

Privacy, il ruolo centrale della prevenzione - Incontro del network dei responsabili dati delle Autorità Indipendenti

Si è svolto venerdì mattina 24 novembre 2023 presso la sede dell’Autorità Garante della Concorrenza e del Mercato l’incontro del network dei responsabili protezione dati delle Autorità amministrative indipendenti.

 “Il principio della privacy by design e by default nella Pubblica Amministrazione”: questo il titolo della mattinata di lavoro. “Occorre prevenire… Dall’intelligenza artificiale agli appalti pubblici”.

Sono intervenuti, fra gli altri, Patrizia Cardillo, coordinatrice del network; Saverio Valentino, Componente dell’Autorità Garante della Concorrenza e del Mercato; Guido Scorza, dell’Autorità Garante per la Protezione dei dati personali; Giuseppe Busìa, Presidente dell’Autorità Nazionale Anticorruzione (Anac); Marcello Albergoni, Vice Capo di Gabinetto dell’Agenzia per la Cybersicurezza Nazionale; e Massimo Fedeli, direttore dipartimento dell’Istituto Nazionale di Statistica.

Il concetto di privacy

Il concetto di privacy by design venne adottato nel 2010 con una risoluzione nel corso della Conferenza mondiale dei Garanti Privacy. E il Regolamento europeo sulla protezione dei dati richiama l’importanza di fare una valutazione preventiva dei rischi e implementare misure tecniche e organizzative adeguate ad attuare i princìpi di protezione dei dati personali. Ma cosa significa per la Pubblica Amministrazione raccogliere la sfida lanciata dal Regolamento? Come portare, dentro il suo modo di operare, i principi della privacy by design e by default?

I temi al centro del dibattito

Questi sono stati i temi al centro del dibattito fra Autorità.

L’orientamento al rischio che pervade tutto il Regolamento europeo sulla protezione dei dati 2016/679, trova la sua espressione nell’art. 25 che impone al Titolare, prima ancora di porre in essere un trattamento di dati personali, di fare una valutazione dei rischi e di implementare misure tecniche ed organizzative adeguate, idonee da un punto di vista sostanziale e non solo formale, ad attuare i principi di protezione dei dati personali in maniera efficace ed effettiva.

Nella scelta di tali misure deve tenere conto:

• dello stato dell’arte (i progressi tecnologici disponibili sul mercato);
• dei costi di attuazione (si richiede una proporzionalità al rischio);
• della natura, l’ambito di applicazione, il contesto e le finalità del trattamento;
• dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento;
• del tempo.

I punti di maggiore rilievo

Il concetto di privacy by design venne adottato nel 2010 con una risoluzione. Tra i punti di maggior rilievo del testo:

• prevenzione, non correzione successiva (i problemi vanno valutati nella fase di progettazione, e l’applicativo deve prevenire il verificarsi dei rischi);
• la privacy va introdotta come impostazione di default (vanno raccolti solo i dati necessari e sufficienti per le finalità previste e per il tempo necessario);
• la privacy deve essere incorporata nel progetto (vanno utilizzate tecniche di pseudonimizzazione o minimizzazione dei dati);
• occorre assicurare la massima funzionalità, in maniera da rispettare tutte le esigenze;
• deve essere garantita la sicurezza durante tutto il ciclo di vita del prodotto o servizio;
• deve essere garantita visibilità e trasparenza in tutte le fasi del trattamento in modo che sia verificabile la tutela dei dati;
• bisogna assicurare la centralità del soggetto interessato, quindi rispetto dei diritti, tempestive e chiare risposte alle sue richieste di accesso.