La General Data Protection Regulation (GDPR) introduce il concetto di Privacy by Design di privacy by Default.
I termini "by design" e "by default" sono descritti come concetti diversi, anche se utilizzati congiuntamente come unica espressione.
Vengono individuati 7 principi su cui si fonda la privacy "by design" e "by default":
Prevenire non correggere, cioè i problemi vanno valutati nella fase di progettazione;
Privacy come impostazione di default;
Privacy incorporata nel progetto;
Massima funzionalità, in maniera da rispettare tutte le esigenze (rifiutando le false dicotomie quali più privacy = meno sicurezza);
Sicurezza durante tutto il ciclo del prodotto o servizio;
Trasparenza;
Centralità dell'utente.
Secondo questo orientamento il sistema privacy deve essere user centric, cioè è l'utente che è al centro dell'intero sistema, non è più sufficiente una progettazione che sia conforme a norma se poi l'utente non è adeguatamente protetto.
La “Privacy by Design” (PbD) presta particolare attenzione alla gestione dell'intero ciclo di vita dei dati personali, dalla raccolta al trattamento alla cancellazione, incentrandosi sistematicamente sulle garanzie procedurali generali in merito all'esattezza, alla riservatezza, all'integrità, alla sicurezza fisica e alla cancellazione dei dati personali.
La Privacy by Design rappresenta il futuro della privacy; l'organizzazione, pubblica o privata, dovrà, ancora prima di iniziare il trattamento nonché le attività di raccolta dati, effettuare una PIA (Privacy Impact Assessment).
Il DPO, designato dall'organizzazione, dovrà effettuare un PIA (Privacy Impact Assessment) che gli permetterà di valutare le misure e gli accorgimenti da suggerire all’azienda.
Per quanto riguarda l'aspetto complementare della Privacy by Default, tale principio stabilisce che per impostazione predefinita le imprese dovrebbero trattare solo i dati personali nella misura necessaria per le finalità previste e per il periodo strettamente necessario a tali fini.
Il principio di accountability del Regolamento dispone che il responsabile del trattamento adotta politiche e attua misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato è conforme al Regolamento stesso.
Il termine inglese “accountability”, non immediatamente traducibile, richiama almeno tre aspetti:
La “trasparenza”, intesa come garanzia della completa accessibilità alle informazioni, in primo luogo per i cittadini, anche in quanto utenti del servizio;
La “responsività”, intesa come la capacità di rendere conto di scelte, comportamenti e azioni e di rispondere alle questioni poste dagli stakeholder;
La “compliance”, intesa come capacità di far rispettare le norme.
