Nuove disposizioni in materia di call center: le FAQ del Mise e i Modelli da utilizzare

sfondo_call_center6Nuove disposizioni normative sulle attività di call center: sono riportate di seguito una serie di risposte alle richieste di chiarimenti che sono state poste o che potrebbero essere poste più frequentemente (FAQ), basate sulle interpretazioni attualmente condivise con gli altri soggetti istituzionali richiamati dalla norma.

In chiusura del post sono riportati i Modelli da utilizzare per la comunicazione al Mise.

Nuove disposizioni normative sulle attività di call center
Articolo 1, comma 243, della legge n. 232 del 2016 (c.d. legge di bilancio)
che sostituisce l’art. 24-bis, D.L. 22/06/2012, n. 83 convertito con modificazioni dalla legge 07/08/2012, n. 134/2012

Chi sono i soggetti tenuti agli obblighi di comunicazione nei confronti del Ministero dello sviluppo economico sulla base dalle nuove disposizioni normative?

Qualunque operatore economico che decida di localizzare o abbia localizzato, anche mediante affidamento a terzi, l’attività di call center fuori dal territorio nazionale in un Paese non membro dell’Unione europea.

Quali elementi informativi deve contenere la comunicazione al Ministero dello sviluppo economico?

La specifica comunicazione da effettuare al Ministero dello sviluppo economico da parte dell’operatore economico che localizza o abbia localizzato, anche mediante affidamento a terzi, l’attività di call center fuori dal territorio nazionale in un Paese extra UE deve contenere le numerazioni telefoniche messe a disposizione del pubblico ed i corrispettivi Paesi in cui sono localizzate.

Le numerazioni oggetto di obbligo di comunicazione al Ministero dello sviluppo economico includono anche il tradotto geografico internazionale?

Si, per ciascuna numerazione telefonica messa a disposizione del pubblico e utilizzata per i servizi delocalizzati occorre inserire anche il tradotto geografico internazionale.

Cosa si intende per “operatore economico”?

La nozione di operatore economico richiamata dalla normativa è coerentemente riferibile alla definizione riportata all’art.3, comma 1, lett. p) del Decreto Legislativo n.50/2016 (Codice dei contratti pubblici), ovvero sono operatori economici coloro che offrono beni e servizi sul mercato a prescindere dalla forma giuridica di riferimento. Pertanto sono esclusi dalla definizione le pubbliche amministrazioni nell’assolvimento dei loro compiti istituzionali nonché tutti i soggetti di qualsiasi natura nello svolgimento di un’attività che non sia correlata, direttamente o indirettamente, ad uno scopo di lucro.

L’ambito di applicazione della norma può ritenersi ancora limitato alle sole aziende che svolgono in via assolutamente prevalente attività di call center?

No, l’ambito di applicazione soggettivo dell’art. 24 bis, è riferibile all’operatore economico, indipendentemente dal numero di dipendenti occupati, che svolge attività di call center utilizzando numerazioni telefoniche messe a disposizione del pubblico, a prescindere dalla prevalenza o meno dell’attività di call center rispetto al resto della propria attività.

L’operatore economico che affida parzialmente o totalmente a terzi l’attività di call center è soggetto all’obbligo di comunicazione nei confronti del Ministero dello sviluppo economico?

Si, è soggetto alle prescrizioni di legge l’operatore economico che svolge servizi di call center tanto tramite una struttura interna all’azienda quanto in outsourcing. Nel caso di affidamento a terzi dei servizi di call center, la norma ha esplicitamente previsto una responsabilità solidale tra committente e gestore del call center.

L’operatore economico che svolge attività di call center attraverso società controllata facente parte del Gruppo societario è soggetto agli obblighi di legge?

Si, dalla normativa emerge la responsabilità dell’operatore economico sia che svolga esso stesso l’attività sia che si avvalga di servizi di call center esterno

L’operatore economico straniero che svolge un servizio di call center ubicato in un Paese extra UE, pur avendo un diverso core business, è soggetto agli obblighi di legge?

Si, sono soggetti agli adempimenti di legge anche gli operatori economici stranieri che svolgono essi stessi o si avvalgono di servizi di call center su numerazioni nazionali geografiche (qualsiasi numero del piano nazionale di numerazione per cui alcune cifre fungono da indicativo geografico e sono utilizzate per instradare le chiamate e le terminazioni di rete) e non geografiche (qualsiasi numero del piano nazionale di numerazione che non sia geografico ad esempio i numeri per servizi di comunicazione mobili e personali, i numeri di chiamata gratuita e i numeri a tariffazione specifica).

Cosa si intende per “attività di call center”?

Per l’individuazione di tale attività si dovrà fare riferimento alla definizione di call center contenuta nell’art. 1, lett. d) della Delibera n. 79/09/CSP dell’Autorità per le garanzie nelle comunicazioni, per il quale esso è un insieme di risorse umane e di infrastrutture specializzate che consente contatti e comunicazioni multicanale con gli utenti (attraverso più mezzi, per esempio telefonia, internet, posta). Tale attività ricade nell’ambito applicativo dell’art. 24 bis sia ove realizzata tramite strutture interne sia quando viene affidata in outsourcing, purché si utilizzino numerazioni telefoniche messe a disposizione del pubblico.

Le prescrizioni di legge si applicano sia alle attività di call center inbound che outbound?

Si, gli obblighi di legge si applicano in riferimento ai servizi di call center e relative numerazioni a prescindere dalla tipologia di svolgimento dell’attività (sia in entrata che in uscita, inbound/outbound).

L’informazione preliminare in merito al Paese in cui è fisicamente collocato l’operatore che risponde è dovuta anche nel caso in cui l’operatore è ubicato in Italia o in un Paese UE?

Si, l’obbligo informativo relativo al Paese in cui l’operatore con cui si parla è fisicamente collocato prescinde dalla localizzazione ed è applicabile anche agli operatori ubicati in Italia o in un Paese UE.

L’obbligo di informazione preliminare deve riguardare necessariamente la località in cui l’operatore è fisicamente collocato?

No, è sufficiente fornire l’informazione del Paese in cui è ubicato l’operatore del call center.

L’obbligo di informazione preliminare sulla localizzazione del call center si intende assolto anche attraverso ricorso al sistema di Interactive Voice Response (IVR)?

Si, è possibile adempiere all’obbligo di legge tramite il sistema IVR e tramite operatore.

L’obbligo di informazione preliminare, qualora l’operatore è ubicato in un Paese extra UE, circa la possibilità di richiedere che il servizio sia reso da un operatore collocato nel territorio nazionale o in un Paese UE e l’immediato trasferimento della chiamata a seguito di specifica richiesta si intendono assolti anche attraverso ricorso al sistema di Interactive Voice Response (IVR)?

Si, è possibile adempiere agli obblighi di legge tramite il sistema IVR e tramite operatore.

logo_mise_400

 

I Modelli per adempiere agli obblighi di comunicazione nei confronti del Ministero dello sviluppo economico.

Di seguito i due modelli (il cui contenuto è aggiornato rispetto a quello già reso disponibile in passato in uno al menzionato provvedimento del 10 ottobre 2013, n. 444) volti ad agevolare l’assolvimento degli obblighi comunicativi diretti all’Autorità, utilizzabili dagli operatori economici cui facciano capo le localizzazioni in Paesi terzi dell’attività di call center (inbound e outbound):

  1. un primo modello potrà essere utilizzato, ai sensi dell’art. 24-bis, comma 2, lett. c), da parte degli operatori economici che intendono localizzare l’attività di call center in Paesi terzi in tempi successivi all’entrata in vigore della nuova disciplina.

A tal proposito va rammentato che in caso di omessa o tardiva comunicazione dei dati richiesti dalla legge si applica la sanzione amministrativa pecuniaria pari a 150.000 euro per ciascuna comunicazione omessa o tardiva (art. 24-bis, comma 7, d.l. n. 83/2012).

  1. un secondo modello potrà invece essere utilizzato, ai sensi dell’art. 24-bis, comma 3, per gli operatori che abbiano localizzato  l’attività di call center in Paesi terzi anteriormente all’entrata in vigore della nuova disciplina.

A tal proposito va rammentato che in caso di omessa o tardiva comunicazione dei dati richiesti dalla legge si applica la sanzione amministrativa pecuniaria pari a 10.000 euro per ciascun giorno di ritardo (art. 24-bis, comma 3, d.l. n. 83/2012).

Lavoro: no al controllo indiscriminato di e-mail e navigazione Internet

downloadVerifiche indiscriminate sulla posta elettronica e sulla navigazione web del personale sono in contrasto con il Codice della privacy e con lo Statuto dei lavoratori.

Questa la decisione adottata dal Garante [doc. web n. 5408460], che ha vietato a un’università il monitoraggio massivo delle attività in Internet dei propri dipendenti. Il caso era sorto proprio per la denuncia del personale tecnico-amministrativo e docente, che lamentava la violazione della propria privacy e il controllo a distanza posto in essere dall’Ateneo.

Nel corso dell’istruttoria, l’amministrazione ha respinto le accuse, sostenendo che l’attività di monitoraggio delle comunicazioni elettroniche era attivata saltuariamente, e solo in caso di rilevamento di software maligno e di violazioni del diritto d’autore o di indagini della magistratura. L’Università aveva inoltre aggiunto che non venivano trattati dati personali  dei dipendenti che si connettevano alla rete.

L’istruttoria del Garante ha invece evidenziato che i dati raccolti erano chiaramente riconducibili ai singoli utenti, anche grazie al tracciamento puntuale degli indirizzi Ip (indirizzo Internet) e dei Mac Address (identificativo hardware) dei pc assegnati ai dipendenti.

L’infrastruttura adottata dall’Ateneo, diversamente da quanto affermato, consentiva poi la verifica costante e indiscriminata degli accessi degli utenti alla rete e all’e-mail, utilizzando sistemi e software che non possono essere considerati, in base alla normativa, “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”.

Tali software, infatti, non erano necessari per lo svolgimento della predetta attività ed operavano, peraltro, in background, con modalità non percepibili dall’utente. E’ stato così violato lo Statuto dei lavoratori – anche nella nuova versione modificata dal cosiddetto “Jobs Act” – che in caso di controllo a distanza prevede l’adozione di specifiche garanzie per il lavoratore.

Nel provvedimento il Garante ha rimarcato che l’Università avrebbe dovuto privilegiare misure graduali che rendessero assolutamente residuali i controlli più invasivi, legittimati solo in caso di individuazione di specifiche anomalie, come la rilevata presenza di virus.

In ogni caso, si sarebbero dovute prima adottare misure meno limitative per i diritti dei lavoratori.

L’Autorità ha infine riscontrato che l’Università non aveva fornito agli utilizzatori della rete un’idonea informativa privacy, tale non potendosi ritenere la mera comunicazione al personale del Regolamento relativo al corretto utilizzo degli strumenti elettronici, violando così il principio di liceità alla base del trattamento dei dati personali.

L’Autorità ha quindi dichiarato illecito il trattamento dei dati personali così raccolti e ne ha vietato l’ulteriore uso, imponendo comunque la loro conservazione per consentirne l’eventuale acquisizione da parte della magistratura.

Internet banking: analisi comportamentale contro le frodi, ma rispettare privacy

internet bankingPer combattere i furti di identità o le frodi nell’internet banking, una banca potrà analizzare informazioni biometrico-comportamentali dei clienti, quali la pressione sul touch screen o i movimenti del mouse,  in occasione della loro “navigazione” nell’area privata del proprio sito web.

Il sistema, sottoposto al Garante della privacy per una verifica preliminare [doc. web n. 5252271], si propone di innalzare i livelli di tutela attualmente previsti (come password per l’accesso al conto corrente on line, oppure one time password per bonifici e altre operazioni) con nuove modalità di “identificazione” dell’utente.

Per raggiungere tale obiettivo, l’istituto di credito ha chiesto a un partner tecnologico di generare profili univoci dei propri clienti basati sull’analisi del loro comportamento durante le operazioni svolte nell’area riservata del sito di internet banking.

La società, in una prima fase, raccoglie informazioni su azioni spontanee dell’utente, come i movimenti del mouse (incluse reazioni inconsce a “interferenze” prodotte appositamente dal sistema), la pressione del dito su schermi tattili, oppure la velocità di digitazione sulla tastiera. Tali dati biometrici sono combinati con altre informazioni relative alla tecnologia usata per collegarsi (pc, tablet, smartphone), come i parametri del sistema operativo e del browser di navigazione.

Ogni volta che il cliente si ricollega ai servizi bancari on line, il sistema provvede a comparare le caratteristiche della sua navigazione sul sito con quelle associate al profilo in memoria, così da individuare eventuali tentativi di accesso illecito ai conti on-line, informandone i clienti ed eventualmente inibendo determinate operazioni.

Il Garante ha riconosciuto l’importanza delle finalità perseguite dalla banca a garanzia della sicurezza dei servizi on-line ma, proprio per la delicatezza dei dati personali trattati, ha vincolato l’attivazione del nuovo sistema alla rigorosa osservanza delle misure individuate a tutela della privacy degli interessati.

La banca, ad esempio, potrà attivare il sistema di verifica biometrico-comportamentale solamente su base volontaria, dopo aver fornito al cliente una completa informativa e averne ottenuto lo specifico consenso.

Dovrà inoltre valutare con attenzione l’effettiva pertinenza e non eccedenza di tutti i “dati di navigazione” astrattamente utilizzabili, configurando il sistema in modo tale da acquisire e trattare, fin dall’inizio, solo quelli strettamente necessari all’esecuzione del servizio.

Il partner tecnologico:

  • non avrà accesso alle schede anagrafiche dei clienti dell’istituto di credito in modo tale da non poter risalire alla loro identità e, in ogni caso,
  • non potrà interconnettere i profili comportamentali con le informazioni contenute in altre banche dati, così da scongiurare il rischio di trattamenti illeciti.

Sono state inoltre definite precise misure di sicurezza e limiti ai tempi di conservazione dei dati raccolti per la fornitura del servizio, garantendo comunque gli adempimenti previsti da specifiche normative di settore e la tutela di eventuali diritti in sede giudiziaria.

No allo spam elettorale nelle mail dei dipendenti comunali

Concept of sending e-mails from your computerUn candidato non può usare a fini di propaganda elettorale  i dati personali in suo possesso per ragioni istituzionali. È quanto ha ribadito il Garante privacy in un provvedimento con cui ha vietato ad un ex assessore di utilizzare gli indirizzi mail dei dipendenti comunali  nella sua disponibilità ai tempi del suo mandato.

La vicenda risale alle amministrative dello scorso anno, quando una dipendente comunale, aprendo la mail di lavoro,  scopre che l’ex assessore al personale si candida alle elezioni regionali e chiede il suo voto.

La scena si ripete più volte –  probabilmente la stessa mail è stata spedita a tutto il personale comunale – e alcuni dipendenti, che si ritengono lesi nei loro diritti, si rivolgono al Garante per la protezione dei dati personali. I dipendenti segnalano all’Autorità che gli indirizzi mail sono stati acquisiti da un indirizzario di posta elettronica che non è pubblico, essendo ad esclusivo uso interno dell’amministrazione e nella disponibilità dell’ex assessore al personale  in virtù dell’incarico precedentemente ricoperto.

Per questo motivo ritengono che i loro dati personali siano stati trattati in modo non corretto e  in violazione delle regole dettate dal Garante privacy in materia di propaganda elettorale.

Tesi condivisa dall’Autorità che, nell’emettere il provvedimento di divieto, ha ritenuto l’operato dell’ex assessore illecito sotto diversi profili.

  • In primo luogo, perché il trattamento dei dati è avvenuto in violazione del principio di finalità: gli indirizzi mail comunali, infatti, il cui scopo è quello di consentire il contatto per l’assolvimento delle funzioni istituzionali, non possono essere utilizzati per il perseguimento di altre finalità (non compatibili con quelle che ne hanno giustificato la raccolta originaria),  come appunto la propaganda elettorale. Così come non possono essere utilizzati liberamente da chi ricopre incarichi pubblici e detiene  questi dati solo per lo svolgimento dei propri compiti istituzionali.
  • In secondo luogo perché, come affermato dal Garante in più occasioni, i partiti, le liste o i singoli candidati non possono utilizzare indirizzi di posta elettronica senza il consenso specifico e informato dei destinatari. Consenso che, nel caso in esame,  non risulta acquisito, come non risulta che i destinatari siano stati informati sull’uso che veniva fatto dei loro dati.

Con un autonomo procedimento l’Autorità provvederà a verificare i presupposti per l’applicazione della sanzione amministrativa prevista per l’omessa informativa e la  mancata acquisizione del consenso.

Recupero crediti, OIC: tutelare privacy dei consumatori e diritti delle imprese

image_galleryFonte: Help Consumatori

Il 18 aprile scorso, il Garante per la Protezione dei dati personali ha pubblicato una guida che illustra in maniera sintetica il modo più corretto in cui le società di recupero crediti possono trattare le informazioni personali che riguardano i debitori.

A poco più di una settimana di distanza, le associazioni dei consumatori che fanno parte dell’OIC (Osservatorio Imprese e Consumatori) hanno incontrato, in un convegno dal titolo “Recuperare credito”, autorità e imprese per trovare insieme una strada che conduca ad un equilibrio tra due opposti interessi: quello di coloro che cercano di recuperare quanto dovuto (le imprese) e quello dei consumatori che vogliono vedere tutelata la propria privacy.

Quando parliamo di recupero crediti in Italia, ci rifacciamo, sotto l’aspetto normativo, ad una norma che risale ad un Regio Decreto del 1931 e che per quasi 90 anni non è mai stata modificata”, ha tenuto a precisare il Antonio Persici, Presidente di OIC che continua, “Per anni l’attività di recupero crediti è stata poco e male considerata dal legislatore. Eppure sappiamo bene quanto il ritardo dei pagamenti sia letale tanto per le imprese che per la Pubblica Amministrazione, con effetti negativi sull’intero Sistema Paese”.

Il vademecum pubblicato dal Garante per la Privacy ha fatto un lavoro di sintesi, come precisa il Daniele De Paoli, del Dipartimento Realtà Economiche e Produttive del Garante, e dell’Autorità, “tra le principali novità avvenute nel comparto dal 2005 al 2015, alla luce dei cambiamenti avvenuti sul mercato”. De Paoli ha tenuto a sottolineare come “le istanze che arrivano al Garante e che riguardano il recupero crediti rappresentano, di fatto, una percentuale consistente– parliamo di alcune centinaia l’anno- e la maggior parte hanno a che fare con la violazione della riservatezza e della dignità della persona oppure con pratiche di contatto invasive: basti pensare che, nel 90% dei casi, ci si rivolge all’Autorità perché la comunicazione della morosità viene data a terze persone diverse dal diretto interessato”.

Quali soluzioni trovare allora per limitare queste pratiche? “Tanto per cominciare”, ha detto Persici, “la registrazione della telefonata tra l’operatore e il debitore può essere un modo per documentare in maniera certa il contatto. Inoltre, occorre senza dubbio provvedere ad una adeguata formazione del personale delle società di recupero crediti in modo che la comunicazione si svolga nel pieno rispetto dei diritti dell’interessato”. Dello stesso avviso si è detto anche De Paoli che, nel suo intervento, ha accolto positivamente le proposte di OIC.

Secondo Enrico Maria Cotugno, Vice Direttore di AGCOM, “dovremmo partire dal fatto che le imprese non devono cedere crediti “sporchi”, ossia esigere crediti da clienti con i quali hanno in sospeso dei reclami: questo sarebbe un buon modo per distinguere sul nascere i veri debitori dai clienti che invece hanno diritto a non pagare”.

L’OIC, da canto suo, sottolinea invece “l’importanza di un confronto con gli operatori del settore del recupero credito, attraverso il quale si possa colmare la lacuna dell’attuale sistema normativo. Inoltre, la strada del dialogo consentirebbe di trovare soluzioni rapide e aumentare la fiducia del consumatore”.

Il Garante a Facebook: stop ai fake e trasparenza sui dati

Prima pronuncia dell’Autorità italiana nei confronti di Menlo Park, applicabile la normativa nazionale: Facebook dovrà comunicare ad un proprio utente tutti i dati che lo riguardano – informazioni personali, fotografie, post – anche quelli inseriti e condivisi da un falso account, il cosiddetto “fake”.

Facebook_news

Non solo: la società di Menlo Park dovrà bloccare il fake ai fini di un’eventuale intervento da parte della magistratura. Lo ha stabilito il Garante per la protezione dei dati personali nella sua prima pronuncia nei confronti del colosso web [doc. web n. 4833448], nella quale afferma la propria competenza a intervenire a tutela degli utenti italiani.

Il social network dovrà, inoltre, fornire all’iscritto, in modo chiaro e comprensibile, informazioni anche:

  • sulle finalità, le modalità e la logica del trattamento dei dati,
  • i soggetti cui sono stati comunicati o che possano venirne a conoscenza.

Il Garante ha accolto il ricorso di un iscritto a Facebook che si era rivolto all’Autorità dopo aver interpellato il social network ed aver ricevuto una risposta ritenuta insoddisfacente. L’iscritto lamentava di essere stato vittima di minacce, tentativi di estorsione, sostituzione di persona  da parte di un altro utente di Facebook, il quale, dopo aver chiesto e ottenuto la sua “amicizia”, avrebbe inizialmente intrattenuto una corrispondenza confidenziale, poi sfociata nei tentativi di reato.

Il ricorrente sosteneva, inoltre, che il “nuovo amico” – visto il suo rifiuto di sottostare alle richieste di denaro – avrebbe creato un falso account, utilizzando i suoi dati personali e la fotografia postata sul suo profilo, dal quale avrebbe inviato a tutti i contatti Facebook dell’interessato fotomontaggi di fotografie e video gravemente lesivi dell’onore e del decoro oltre che della sua immagine pubblica e privata.

L’interessato chiedeva quindi la cancellazione e il blocco del falso account, nonché la  comunicazione dei suoi dati in forma chiara, anche di quelli presenti nel fake.

Prima di intervenire nel merito, il Garante, anche alla luce della direttiva 95/46/EC e delle sentenze della Corte di Giustizia europea “Google Spain” del 13 maggio 2014 e “Weltimmo” del 1 ottobre 2015, ha innanzitutto affermato la competenza dell’Autorità italiana sul caso in esame, ritenendo applicabile il diritto nazionale.

La multinazionale, infatti, è presente sul territorio italiano con un’organizzazione stabile, Facebook Italy srl, la cui attività è inestricabilmente connessa con quella svolta da Facebook Ireland ltd  che ha effettuato il trattamento di dati contestato. Il Garante ha accolto le tesi del ricorrente ritenendolo, in base alla normativa italiana, legittimato ad accedere a tutti i dati che lo riguardano compresi quelli presenti e condivisi nel falso account.

Ha quindi ordinato a Facebook di comunicare all’interessato tutte le informazioni richieste entro un termine preciso.

L’Autorità non ha invece ritenuto opportuno ordinare alla società la  cancellazione  delle informazioni, poiché esse potrebbero essere valutabili in sede di accertamento di possibili reati. Ha di conseguenza  imposto a Menlo Park di non effettuare alcun ulteriore trattamento dei dati del ricorrente e di conservare quelli finora trattati ai fini della eventuale acquisizione da parte dell’autorità giudiziaria. 

Privacy by Design: l’approccio corretto alla protezione dei dati personali

Il tema della privacy riguarda il diritto degli individui alla protezione dei propri dati personali. L’evoluzione tecnologica ha inciso ovviamente anche sulla privacy poiché è necessario prevenire i rischi e comunque garantire la protezione dei dati personali.

I dati relativi alla rete internet e al numero di utenti ad essa connessi sono sufficientemente eloquenti e attestano come siano mutate in modo radicale nel corso degli anni sia le attività lavorative sia le abitudini di vita delle persone.

Questo complesso scenario ha determinato la necessità di una evoluzione anche per la privacy. Infatti, già a metà degli anni ’90, il contesto internazionale ha evidenziato il cambiamento apportato alla privacy proponendo le c.d. PET (acronimo di Privacy Enhancing Technologies), ossia tutte quelle tecnologie in ambito ICT che sono utili ad accrescere la protezione dei dati personali.

Del resto, un riferimento a questo importante concetto delle PET è contenuto nell’art. 3 del codice della privacy, rubricato “Principio di necessità nel trattamento dei dati”, che recita

“I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità”. Successivamente alle PET si è giunti alla Privacy by Design.

Question-Mark-Man

Ma che cos’è la Privacy by Design (PbD) e cosa rappresenta?

La Privacy by Design è un ulteriore tassello nella evoluzione dei principi relativi alla protezione dei dati personali e rappresenta il futuro della privacy. Si tratta di un innovativo approccio concettuale che va utilizzato in ogni occasione e contesto in cui sia necessario garantire la protezione dei dati personali; è il sistema attuale per affrontare la privacy mediante il quale si devono sdoganare criteri ed approcci meno recenti.

In sostanza la Privacy by Design rappresenta il futuro della privacy.

Nel 2010 la 32ma Conferenza mondiale dei Garanti privacy ha adottato la risoluzione sulla Privacy by Design (PbD) rendendo in tal modo ufficiale questo nuovo concetto che era comunque già noto ed utilizzato negli Stati Uniti e in Canada. Con la PbD si è inteso istituzionalizzare il cambiamento e l’evoluzione della privacy che, pertanto, richiede un nuovo approccio per garantire una migliore protezione dei dati personali.

Successivamente, il concetto di Privacy by Design – sebbene con una qualificazione diversa (privacy by design and by default) – è stato introdotto nella proposta di riforma europea della normativa in materia di dati personali che attualmente attende l’approvazione definitiva. Infatti, il 25 gennaio 2012 la Commissione europea ha proposto il nuovo quadro giuridico europeo in materia di protezione dei dati e la proposta di Regolamento introduce (articolo 23) l’espressione “data protection by design and by default”. Secondo il testo di questo articolo è chiaro che la Commissione europea esamini i termini “by design” e “by default” come concetti diversi, anche se utilizzati congiuntamente come unica espressione.

Nel contesto internazionale, però, è presente unicamente la descrizione ben strutturata della Privacy by Design, frutto della elaborazione della Dott.ssa Ann Cavoukian (che, quale Information and Privacy Commissioner of Ontario, Canada, fu tra i promotori della risoluzione adottata nel 2010).

Secondo questa impostazione, l’utente è considerato il centro del sistema privacy(per definizione, quindi, è “user centric”). Qualsiasi progetto (sia strutturale sia concettuale) va realizzato considerando dalla progettazione (appunto by design) la riservatezza e la protezione dei dati personali.

La PbD comprende una trilogia di applicazioni:

  1. sistemi IT
  2. pratiche commerciali corrette
  3. progettazione strutturale e infrastrutture di rete

e vengono individuati 7 principi definiti fondazionali che esprimono pienamente l’intero senso di questa prospettiva:

  1. Proattivo non reattivo – prevenire non correggere
  2. Privacy come impostazione di default
  3. Privacy incorporata nella progettazione
  4. Massima funzionalità − Valore positivo, non valore zero
  5. Sicurezza fino alla fine − Piena protezione del ciclo vitale
  6. Visibilità e trasparenza − Mantenere la trasparenza
  7. Rispetto per la privacy dell’utente − Centralità dell’utente.

Si tratta, indubbiamente, di un approccio metodologico ben strutturato che garantisce una neutra e solida funzionalità operativa indipendente da specifiche soluzioni tecnologiche. Del resto, ciò è del tutto conforme con i valori fondamentali dell’individuo.

L’obiettivo principale è quello di elaborare due concetti: la protezione dei dati e degli utenti.

In realtà, si presta attenzione in primo luogo alla privacy e, dopo si cerca di rispettare il diritto. L’approccio alla protezione dei dati personali e alla privacy, infatti, non può essere basata su una valutazione di conformità normativa perché è necessario che un qualsiasi processo proceda dall’utente, mettendo lui/lei al centro.

L’utente diventa il punto di partenza per sviluppare il progetto in base alla legge sulla privacy e quindi con un approccio user-centric.

Ogni volta che un progetto inizia deve prendere in considerazione, prima di tutto, il ruolo dell’utente, progettando tutto attorno alla persona fisica. Secondo questo metodo è molto semplice evitare i rischi privacy e di sicurezza.

La PbD esclude, pertanto, che si possa effettuare una valutazione di conformità alla normativa successivamente alla redazione del progetto o comunque posteriormente in occasione di un evento, in quanto la privacy va considerata già nella fase di progettazione.

La valutazione di “PbD compliance” costituisce un valore aggiunto di rilievo perché attesta che tutti i processi sono stati seguiti considerando adeguatamente la protezione dei dati personali.

La proposta europea di Regolamento contiene il riferimento alla “data protection by design and by default” ma – sebbene indichi chiaramente il senso di un cambio di prospettiva rispetto al passato – l’approccio utilizzato nel testo normativo sembra più attento alle tecnologie applicate alla privacy piuttosto che alla metodologia da utilizzare e all’essenza del concetto di “by design”.

In realtà, non si può prescindere dal preminente ruolo dell’utente i cui dati personali devono essere trattati in maniera adeguata anche al fine di prevenire o ridurre al minimo i rischi privacy.
Le applicazioni pratiche della Privacy by Design sono molteplici e non soggette a limiti (dalla progettazione strutturale di edifici o di ambienti, alla realizzazione di un progetto tecnologico o organizzativo, ad ogni soluzione progettuale in ambito IT). L’approccio alla PbD non richiede un’applicazione solo su nuovi progetti, poiché anche quelli esistenti possono beneficiare di questo sistema senza pregiudizio per quanto già realizzato.

Ad oggi, nonostante la risoluzione sulla Privacy by Design sia stata adottata nel 2010 anche con la partecipazione del Garante italiano, non risultano provvedimenti dell’Autorità che richiamino i principi contenuti nella citata risoluzione e sarebbe auspicabile che in essi si possano leggere considerazioni e determinazioni in ordine ad applicazioni concrete dei principi della Privacy by Design rispetto ai casi specifici.

Lo scrivente da tempo sostiene la opportunità e la necessità di sviluppare e strutturare norme uniformi per uno standard privacy internazionale che garantisca, nel rispetto delle normative degli Stati, un framework comune di riferimento con cui agevolare i trattamenti di dati personali e garantirne la protezione nel rispetto della privacy.