Privacy by design e privacy by default: i pilastri della protezione dei dati nel G…

Quando nel maggio 2018 è entrato in piena applicazione il Regolamento Generale sulla Protezione dei Dati (GDPR), molte organizzazioni si sono trovate a dover ripensare radicalmente il proprio approccio alla gestione dei dati personali.

Tra i principi più innovativi e impegnativi introdotti dal GDPR ci sono quelli della privacy by design e della privacy by default, sanciti dall’articolo 25 del Regolamento. Questi concetti rappresentano un cambio di paradigma rispetto all’approccio tradizionale alla protezione dei dati, che spesso interveniva a posteriori per rimediare a problemi già verificatisi, invece di prevenirli attraverso scelte progettuali consapevoli.

Le radici concettuali: da Ann Cavoukian al GDPR

Il concetto di privacy by design non nasce con il GDPR ma ha una storia più lunga. Viene elaborato negli anni Novanta da Ann Cavoukian, allora Information and Privacy Commissioner della provincia dell’Ontario in Canada. La Cavoukian intuisce che la protezione della privacy non può essere un ripensamento tardivo, qualcosa che si aggiunge dopo aver progettato sistemi e processi, ma deve essere incorporata fin dall’inizio nelle scelte progettuali.

Elabora sette principi fondamentali della privacy by design: prevenire invece che rimediare, privacy come impostazione predefinita, privacy incorporata nel design, funzionalità piena senza compromessi, sicurezza end-to-end per l’intero ciclo di vita dei dati, visibilità e trasparenza, rispetto per l’utente mantenendolo al centro.

Questi principi vengono progressivamente riconosciuti a livello internazionale. Nel 2010 una conferenza internazionale dei garanti della privacy li adotta formalmente. Quando l’Unione Europea inizia a lavorare alla riforma della normativa sulla protezione dei dati che sfocerà nel GDPR, decide di incorporare il concetto di privacy by design trasformandolo da best practice volontaria a obbligo giuridico.

Privacy by design: proteggere i dati fin dalla progettazione

Il principio della privacy by design impone che la protezione dei dati personali sia considerata fin dalle prime fasi di progettazione di qualsiasi sistema, servizio, prodotto o processo che comporti il trattamento di dati personali. Non si può più progettare prima e pensare alla privacy dopo. La privacy deve essere un requisito incorporato nel design stesso.

Questo vale per i sistemi informatici ma non solo. Vale anche per l’organizzazione dei processi aziendali, per la progettazione di servizi, per la definizione di procedure amministrative. Ogni volta che si introduce qualcosa di nuovo che comporta il trattamento di dati personali, bisogna chiedersi fin dall’inizio: come possiamo progettarlo in modo da minimizzare i rischi per la privacy?

L’approccio tradizionale era diverso. Si progettava il sistema in base a criteri di funzionalità, efficienza, costo. Poi, se ci si pensava, si aggiungevano misure di sicurezza e protezione dei dati. Ma aggiungere protezione a posteriori è sempre meno efficace e più costoso che incorporarla fin dall’inizio. È come costruire una casa e poi accorgersi che sarebbe servita una cantina: molto meglio prevederla nel progetto iniziale.

La privacy by design richiede un approccio multidisciplinare. Non può essere delegata solo ai tecnici informatici o solo ai giuristi. Serve che si parlino progettisti, sviluppatori, esperti di sicurezza informatica, giuristi specializzati in protezione dati, responsabili dei processi aziendali. Tutti devono contribuire a identificare i rischi per la privacy e a trovare soluzioni progettuali che li minimizzino.

Privacy by default: la configurazione più protettiva come impostazione predefinita

La privacy by default è complementare ma distinta dalla privacy by design. Mentre quest’ultima riguarda come si progetta, la prima riguarda come si configura. Il principio stabilisce che, per impostazione predefinita, devono essere trattati solo i dati personali nella misura necessaria e sufficiente per le specifiche finalità del trattamento.

In termini pratici, significa che le impostazioni predefinite di un sistema devono essere quelle più protettive per la privacy. Se un utente non modifica attivamente le impostazioni, deve automaticamente beneficiare del massimo livello di protezione. Solo se sceglie consapevolmente di modificare le impostazioni può ridurre il livello di protezione.

Facciamo un esempio concreto. Un social network che applichi la privacy by default dovrebbe avere come impostazione predefinita che i post siano visibili solo agli amici, non a tutti pubblicamente. Dovrebbe essere disabilitata per default la condivisione della posizione geografica. Dovrebbero essere minimizzati per default i dati raccolti su comportamenti e preferenze. L’utente può poi scegliere di rendere pubblici i propri post, di condividere la posizione, di permettere una profilazione più spinta, ma deve essere una scelta attiva, non la condizione in cui si trova senza aver fatto nulla.

Questo principio contrasta con una pratica diffusa prima del GDPR: configurazioni predefinite molto invasive, con l’onere lasciato all’utente di smanettare tra opzioni complicate per aumentare la protezione. Molti non lo facevano per mancanza di tempo, competenza o semplicemente perché non capivano le implicazioni. Il risultato era che milioni di persone esponevano i propri dati molto più di quanto avrebbero voluto se fossero state pienamente consapevoli.

La privacy by default inverte l’onere: chi progetta il sistema deve fare in modo che la configurazione predefinita sia protettiva, e chi vuole meno protezione deve compiere passi attivi e consapevoli per ottenerla.

L’applicazione nelle scuole: un contesto particolarmente delicato

Le istituzioni scolastiche sono particolarmente coinvolte da questi principi perché trattano enormi quantità di dati personali, molti dei quali relativi a minori, categoria che richiede protezione rafforzata. La digitalizzazione crescente della scuola – registri elettronici, piattaforme di didattica a distanza, app per la comunicazione scuola-famiglia, sistemi di videosorveglianza – moltiplica le occasioni di trattamento dati e quindi i rischi se non si applicano correttamente privacy by design e by default.

Quando una scuola decide di adottare un nuovo registro elettronico, dovrebbe applicare la privacy by design fin dalla fase di selezione del fornitore. Dovrebbe verificare che il sistema sia stato progettato con la protezione dei dati come requisito fondamentale, non come aggiunta tardiva. Dovrebbe valutare quali dati il sistema raccoglie, come li conserva, chi può accedervi, se applica cifratura, se prevede meccanismi di cancellazione automatica quando i dati non servono più.

Dovrebbe poi configurarlo secondo privacy by default. Se il sistema permette diversi livelli di visibilità dei dati, l’impostazione predefinita dovrebbe essere quella più restrittiva. Se permette di raccogliere dati opzionali oltre a quelli strettamente necessari, questi dovrebbero essere disabilitati per default. I genitori che accedono al registro dovrebbero vedere per default solo i dati del proprio figlio, non avere accesso nemmeno accidentale a quelli di altri studenti.

Quando si introducono sistemi di videosorveglianza, la privacy by design richiede di valutare attentamente dove posizionare le telecamere (evitando bagni, spogliatoi, spazi dove si svolgono colloqui riservati), quali tecnologie usare (meglio telecamere a bassa risoluzione se l’obiettivo è solo il controllo generale degli spazi, non il riconoscimento facciale dettagliato), quanto tempo conservare le registrazioni (il minimo necessario, con cancellazione automatica).

La privacy by default in questo caso significa che il sistema non dovrebbe registrare continuativamente se non necessario, dovrebbe attivare le registrazioni solo in presenza di eventi rilevanti, dovrebbe limitare l’accesso alle registrazioni solo al personale strettamente autorizzato.

Le implicazioni pratiche: dalla teoria all’operatività

Tradurre in pratica questi principi richiede cambiamenti organizzativi significativi. Non basta inserire una clausola nei contratti che dice “il fornitore deve rispettare la privacy by design”. Serve una trasformazione del modo di lavorare.

Innanzitutto serve formare il personale. Chi prende decisioni su sistemi informatici, chi progetta processi, chi sceglie fornitori deve capire cosa significano privacy by design e by default, quali domande porre, quali garanzie richiedere. Non può essere solo il Responsabile della Protezione dei Dati (DPO) a occuparsene: deve essere competenza diffusa.

Serve poi modificare le procedure di acquisto e selezione dei fornitori. Quando si emette un bando per un nuovo sistema informatico, i capitolati tecnici devono includere requisiti specifici relativi alla protezione dei dati fin dal design. Non basta dire genericamente “il sistema deve essere conforme al GDPR”, serve specificare tecnicamente cosa si intende: quali meccanismi di cifratura, quali sistemi di autenticazione, quali funzionalità di cancellazione automatica, quali log di accesso, e così via.

Serve documentare le scelte fatte in fase di progettazione. Il GDPR impone il principio di accountability: non basta essere conformi, bisogna poter dimostrare di esserlo. Quindi ogni volta che si progetta un nuovo trattamento di dati, bisogna documentare come si è applicata la privacy by design: quali rischi sono stati identificati, quali misure tecniche e organizzative sono state adottate per mitigarli, perché si sono fatte certe scelte invece che altre.

Serve infine monitorare nel tempo. Privacy by design e by default non sono attività una tantum che si fanno quando si introduce qualcosa di nuovo e poi si dimenticano. I sistemi evolvono, emergono nuovi rischi, cambiano le normative. Serve una revisione periodica per verificare che le misure adottate restino adeguate.

La valutazione di impatto sulla protezione dei dati

Uno strumento fondamentale per applicare la privacy by design è la Valutazione di Impatto sulla Protezione dei Dati (DPIA, Data Protection Impact Assessment), prevista dall’articolo 35 del GDPR. Quando un trattamento presenta rischi elevati per i diritti e le libertà delle persone, prima di avviarlo bisogna condurre una DPIA.

Questo strumento obbliga a esaminare sistematicamente i rischi connessi a un trattamento prima ancora di implementarlo. Bisogna descrivere dettagliatamente il trattamento previsto, identificare tutti i possibili rischi per gli interessati, valutarne gravità e probabilità, individuare misure tecniche e organizzative per mitigare i rischi, verificare se con queste misure i rischi residui sono accettabili.

Se dalla DPIA emerge che anche con tutte le misure possibili restano rischi elevati, prima di procedere bisogna consultare l’Autorità Garante per ottenere indicazioni su come gestire la situazione.

La DPIA è quindi lo strumento operativo che dà sostanza alla privacy by design. Obbliga a pensare ai rischi per la privacy prima di agire, a cercare soluzioni progettuali che li riducano, a documentare tutto il ragionamento.

Per le scuole, dovrebbero essere soggetti a DPIA trattamenti come: l’introduzione di sistemi di videosorveglianza, l’adozione di piattaforme che tracciano sistematicamente i comportamenti degli studenti, l’uso di sistemi di riconoscimento biometrico, la raccolta di dati particolari sugli studenti per finalità non strettamente educative.

I vantaggi oltre la conformità normativa

Applicare seriamente privacy by design e by default non è solo un obbligo di legge ma porta vantaggi concreti anche dal punto di vista organizzativo ed economico.

Riduce i rischi di violazioni dei dati (data breach). Sistemi progettati fin dall’inizio con la protezione dei dati come requisito sono intrinsecamente più sicuri di quelli in cui la sicurezza è stata aggiunta dopo. Questo significa meno probabilità di incidenti che possono avere costi elevati in termini di sanzioni, danni reputazionali, contenziosi.

Riduce i costi a lungo termine. Modificare sistemi già implementati per renderli conformi costa molto di più che progettarli conformi fin dall’inizio. È più economico fare le cose bene la prima volta che rattopparle poi.

Migliora la fiducia degli utenti. In un’epoca di crescente consapevolezza sui temi della privacy, dimostrare di prenderla sul serio fin dal design è un elemento di differenziazione positivo. Le famiglie apprezzano scuole che dimostrano attenzione seria alla protezione dei dati dei loro figli.

Semplifica la gestione quotidiana. Sistemi ben progettati con funzionalità integrate di protezione dati (cancellazione automatica quando non servono più, profilazione degli accessi, tracciabilità) sono più facili da gestire rispetto a sistemi che richiedono continui interventi manuali per garantire la conformità.

Le sfide dell’implementazione

Nonostante i vantaggi, applicare concretamente questi principi presenta sfide non banali.

Una prima difficoltà è culturale. Richiede un cambio di mentalità rispetto all’approccio tradizionale. Molti sono abituati a ragionare prima in termini di funzionalità e poi eventualmente di protezione dati. Invertire questa logica, mettendo la privacy tra i requisiti fondamentali fin dall’inizio, non è automatico.

C’è poi la sfida della competenza. Applicare seriamente la privacy by design richiede competenze tecniche che non sempre sono disponibili internamente, specialmente in organizzazioni piccole o medie come la maggior parte delle scuole. Serve poter dialogare con fornitori usando il loro linguaggio tecnico, capire quali soluzioni tecnologiche sono disponibili, valutarne l’adeguatezza.

Un’altra difficoltà riguarda i vincoli di bilancio. Soluzioni più protettive possono talvolta costare di più, almeno nel breve periodo. Una scuola con budget limitati può essere tentata di scegliere il fornitore meno costoso anche se offre garanzie inferiori in termini di privacy. Il GDPR dice che questo non è accettabile, che la protezione dei dati non è opzionale ma obbligatoria, ma nei fatti la pressione dei vincoli economici è reale.

C’è infine la questione dei sistemi legacy, quelli già esistenti prima del GDPR. Non sempre è possibile o economicamente sostenibile sostituirli tutti. Bisogna trovare modi per renderli conformi anche se non sono stati progettati secondo privacy by design, attraverso configurazioni appropriate, misure organizzative compensative, limitazioni d’uso.

Il ruolo del DPO e del Titolare del trattamento

Il Responsabile della Protezione dei Dati ha un ruolo chiave nell’assicurare l’applicazione di privacy by design e by default. Dovrebbe essere consultato fin dalle prime fasi di qualsiasi progetto che comporti trattamento di dati personali. Dovrebbe fornire indicazioni su come progettare il trattamento in modo conforme, segnalare rischi, suggerire misure di mitigazione.

Però la responsabilità ultima resta del Titolare del trattamento, che nelle scuole è il dirigente scolastico. Il DPO consiglia, supporta, monitora, ma non può sostituirsi al Titolare nelle decisioni. Se il DPO segnala rischi e suggerisce misure ma il Titolare decide di non seguire i suggerimenti, la responsabilità è del Titolare.

Per questo è fondamentale che il dirigente scolastico sia formato e consapevole. Non può delegare completamente la protezione dati al DPO pensando di non doverne sapere nulla. Deve capire almeno i principi base, deve essere in grado di valutare quando i rischi sono significativi, deve saper porre le domande giuste quando gli vengono proposte soluzioni.

Il rapporto ottimale è di collaborazione stretta: il DPO porta la competenza specialistica, il Titolare ha la visione d’insieme dell’organizzazione e il potere decisionale, insieme trovano soluzioni che bilancino protezione dei dati ed esigenze operative.

Esempi concreti di applicazione

Vediamo alcuni esempi concreti di come si traducono questi principi in scelte operative nelle scuole.

Registro elettronico: Privacy by design significa scegliere un sistema che cifri i dati sia in transito che a riposo, che preveda autenticazione forte per gli accessi, che registri tutti gli accessi per poterli eventualmente verificare, che permetta la cancellazione automatica dei dati quando non servono più. Privacy by default significa configurarlo in modo che ogni utente veda solo i dati di sua stretta competenza, che i dati sensibili richiedano autorizzazioni aggiuntive per l’accesso, che le comunicazioni con le famiglie non espongano dati di altri studenti.

Piattaforme per didattica a distanza: Privacy by design significa scegliere piattaforme che non traccino comportamenti oltre quanto strettamente necessario per la funzionalità didattica, che non condividano dati con terze parti per scopi commerciali, che permettano alla scuola di esportare e cancellare i dati. Privacy by default significa disabilitare funzionalità come la registrazione automatica delle lezioni se non necessaria, limitare la visibilità dei partecipanti, non attivare per default la condivisione della posizione geografica.

App di comunicazione scuola-famiglia: Privacy by design significa scegliere app che usino cifratura end-to-end, che conservino i dati su server localizzati nell’UE o comunque con garanzie adeguate, che non richiedano autorizzazioni eccessive sul dispositivo. Privacy by default significa configurarle per non condividere i contatti, per non rendere visibili i numeri di telefono tra utenti, per cancellare automaticamente i messaggi dopo un periodo ragionevole.

Gestione delle assenze per motivi di salute: Privacy by design significa progettare procedure che raccolgano solo l’informazione essenziale (assenza per motivi di salute) senza richiedere dettagli clinici non necessari, che limitino l’accesso a queste informazioni solo a chi ne ha effettivo bisogno, che prevedano conservazione separata e più protetta rispetto ai dati ordinari. Privacy by default significa che quando un genitore giustifica un’assenza per malattia, il sistema non richieda automaticamente di specificare quale malattia se non strettamente necessario.

Privacy by design e innovazione tecnologica

Un aspetto interessante è che privacy by design non deve essere vista come ostacolo all’innovazione ma può stimolarla. Costringe a pensare creativamente a come ottenere le funzionalità desiderate minimizzando i rischi per la privacy.

Tecnologie come la crittografia omomorfica permettono di elaborare dati mantenendoli cifrati, quindi proteggendoli anche da chi li elabora. La privacy differenziale permette di estrarre informazioni statistiche da dataset senza permettere di identificare i singoli individui. La minimizzazione dei dati può portare a sistemi più snelli ed efficienti.

Nella scuola, l’innovazione tecnologica orientata alla privacy potrebbe portare a sviluppare sistemi di analisi degli apprendimenti che forniscano ai docenti informazioni utili per personalizzare la didattica senza però tracciare ogni singolo click degli studenti. Sistemi di valutazione che restituiscano feedback individualizzato senza creare profili permanenti e pervasivi.

Il punto è non vedere privacy e innovazione come necessariamente in contrasto, ma cercare innovazioni che siano privacy-friendly by design.

Verso una cultura della protezione dei dati

In definitiva, privacy by design e privacy by default non sono solo adempimenti tecnico-giuridici ma espressioni di una cultura organizzativa che mette la protezione dei dati personali tra i valori fondamentali.

Nelle scuole, dove si trattano dati di minori e dove l’educazione include anche l’educazione alla cittadinanza digitale, questo ha un valore particolare. Una scuola che applica seriamente questi principi non solo si protegge da rischi legali ma dà anche un esempio educativo importante: mostra agli studenti che i dati personali meritano rispetto e protezione, che la tecnologia può essere usata in modo responsabile, che le regole sulla privacy non sono burocrazia fastidiosa ma tutela di diritti fondamentali.

Il percorso non è semplice né immediato. Richiede investimenti in formazione, in competenze, talvolta in tecnologie. Richiede cambiamenti organizzativi e culturali. Ma è un percorso necessario e, se affrontato con serietà, porta benefici che vanno ben oltre la mera conformità normativa, costruendo organizzazioni più solide, affidabili e rispettose dei diritti delle persone.

Videocorso DSGA, Dirigenti scolastici e tecnici, Docenti e Sicurezza

🎤🎧 Ascolta il podcast “La voce del preside”

Ascolta “La voce del preside” su Spreaker.

🎤🎧 Audio Lezioni sulla Pedagogia e organizzazione della scuola del prof. Gaudio

Ascolta “Pedagogia e organizzazione della scuola” su Spreaker.