Questa sezione discute come il GDPR contenga solo obblighi per i titolari del trattamento (e responsabili del trattamento) e come questo possa influenzare indirettamente i fornitori di tecnologia.

La protezione dei dati per progettazione può essere vista come la presa in considerazione della protezione dei dati non solo per le operazioni di trattamento che hanno luogo nella fase operativa, ma anche prima nelle fasi di pianificazione e attuazione. Più in generale, si potrebbe vedere la protezione dei dati per progettazione come una metodologia che prende in considerazione la protezione dei dati in tutte le fasi del ciclo di vita di un’attività di trattamento^[1], che va dalla concezione, alla progettazione e all’implementazione, all’uso operativo e allo smantellamento finale.

L’intero ciclo di vita coinvolge generalmente attività di attori diversi dal titolare e dal responsabile del trattamento. Soprattutto, molte decisioni che riguardano gli aspetti di protezione dei dati di un’attività di trattamento sono prese da fornitori di tecnologia, che spesso progettano e implementano software e sistemi. Quando i fornitori di tecnologia investono nello sviluppo di prodotti e servizi che vengono poi offerti sul mercato, contribuiscono anche a definire il livello di sviluppodi un certo tipo di trattamento dei dati personali.

Al contrario, il GDPR esprime obblighi per i titolari del trattamento e i responsabili del trattamento. Manca qualsiasi obbligo diretto per i fornitori di tecnologia. Nel suo parere preliminare sulla privacy by design^[2], il GEPD sottolinea questo fatto affermando quanto segue: ^[3]

“Una grave limitazione degli obblighi dell’articolo 25 è che si applicano solo per imporre un obbligo ai titolari del trattamento e non agli sviluppatori di quei prodotti e tecnologie utilizzati per trattare i dati personali. L’obbligo per i fornitori di prodotti e tecnologie non è incluso nelle disposizioni sostanziali del GDPR.”

Poiché il GDPR nel suo complesso, e l’art. 25 in particolare, esprimono solo obblighi per i titolari del trattamento (e responsabili del trattamento), la portata della presente sezione è limitata di conseguenza.

Mentre non ci sono obblighi legali per i fornitori di tecnologia, l’art. 25 GDPR li influenza comunque indirettamente. Il considerando 78 del GDPR accenna a questo affermando quanto segue^[4]: “I principi della protezione dei dati by design e by default dovrebbero essere presi in considerazione anche nel contesto degli appalti pubblici.” Come avviene l’influenza sui fornitori di tecnologia è descritto più in dettaglio nel seguito.

L’argomento si concentra sul software creato da un fornitore di tecnologia. Ci sono due opzioni per come un titolare del trattamento può ottenere tale software:

• Come risultato di uno sviluppo personalizzato, o
• Acquisendo il software sul mercato.

Nel primo caso, la progettazione e lo sviluppo della software house è attivata dal titolare del trattamento e il fornitore di tecnologia può essere sia interno che esterno; nel secondo caso, c’è una moltitudine di titolari del trattamento con esigenze simili che creano una domanda di mercato per certi tipi di software. La progettazione e lo sviluppo del software sono quindi innescati dal fornitore di tecnologia con l’obiettivo di raggiungere una posizione competitiva sul mercato.

I dettagli tecnici inerenti allo sviluppo del software sono di solito inaccessibili ai titolari del trattamento e ai loro rappresentanti. Pertanto, in entrambi i casi, l’interazione tra titolari del trattamento e fornitori di tecnologia è limitata alla comunicazione sui requisiti. In particolare, il ruolo dei requisiti nei due casi è il seguente:

• Nel caso dello sviluppo personalizzato, i requisiti sono lo strumento principale dei titolari del trattamento per esprimere gli obiettivi del processo di sviluppo. I requisiti sono anche usati per determinare se il processo di sviluppo è terminato con successo. Questo accade durante il test di accettazione.
• Nel caso di titolari del trattamento che acquistano software, hanno bisogno di requisiti per guidare la loro selezione di un software adeguato dall’offerta del mercato. Nelle gare d’appalto, tali requisiti possono essere comunicati ai fornitori di tecnologia al fine di sollecitare offerte adeguate alle esigenze; quando il software viene acquistato senza gara, i titolari del trattamento devono verificare se le varie offerte di software candidate soddisfano i requisiti. In entrambi i casi, la convalida delle offerte rispetto ai requisiti è un fattore importante nella decisione di acquisto da parte del titolare del trattamento.

Così, mentre gli obblighi per i fornitori di tecnologia sono fuori dal campo di applicazione dell’Art. 25, i titolari del trattamento sono obbligati a determinare adeguati requisiti di protezione dei dati e hanno la piena responsabilità del software che utilizzano. La convalida del software rispetto ai requisiti può prendere in considerazione il livello di sviluppo e il costo di implementazione (vedi art. 25 GDPR e la discussione successiva). L’assenza o il costo eccessivo di un software adeguato sul mercato non può tuttavia essere considerato una valida giustificazione per l’utilizzo di un software inadeguato.

 

 

1. Il termine attività di trattamento è qui utilizzato nel senso dell’art. 30 GDPR record di attività di trattamento e 4(16)(b) GDPR. In entrambi i casi, un’attività di trattamento è l’unità di base dell’impresa di un responsabile del trattamento che comporta il trattamento di dati personali. ↑
2. Il Garante europeo della protezione dei dati (GEPD), parere 5/2018, parere preliminare sulla privacy by design, 31 maggio 2018, https://edps.europa.eu/sites/edp/files/publication/18-05-31_preliminary_opinion_on_privacy_by_design_en_0.pdf (ultima visita 29/6/2020). ↑
3. Pagine 7 e 8, lato numero 37. ↑
4. Vedi la frase 5. ↑