Nel cuore del Regolamento europeo sulla protezione dei dati Regolamento 2016/679 (GDPR), l’articolo 25 introduce un concetto rivoluzionario: la privacy by design, vista non più come un semplice obbligo burocratico, ma una vera e propria filosofia di progettazione.
In base a questo principio, la tutela dei dati personali dev’essere integrata fin dalla nascita di ogni sistema, servizio o tecnologia che preveda il trattamento di informazioni personali. Ciò impone agli operatori di pensare alla sicurezza ed alla riservatezza dei dati prima ancora che un prodotto veda la luce, e di non gestirle come accessori da aggiungere in un secondo momento.
Il titolare del trattamento viene quindi chiamato a predisporre misure tecniche e organizzative adeguate - come la pseudonimizzazione, la minimizzazione dei dati e il controllo degli accessi - per garantire che, per impostazione predefinita, solo i dati strettamente necessari vengano raccolti e trattati.
In pratica, la privacy by design è la risposta normativa dell’Unione Europea all’era dei big data: un invito a costruire tecnologie etiche, trasparenti e rispettose della persona, dove la protezione dei dati non sia un ostacolo all’innovazione, ma il suo fondamento.
Il Caso
Durante l’emergenza da Covid-19, l’Agenzia di Tutela della Salute (ATS) della Città Metropolitana di Milano aveva sviluppato ed utilizzato una piattaforma informatica di tracciamento epidemiologico, che permetteva - tramite l’inserimento di codice fiscale e numero di telefono - di ricavare indirettamente lo stato di salute degli utenti.
Pur consapevole della necessità di introdurre un ulteriore livello di sicurezza (‘terza chiave’), l’ente aveva avviato il sistema prima della sua effettiva implementazione.
L’Autorità Garante per la Protezione dei Dati Personali, rilevando violazioni degli articoli 5, 13, 25, 32 e 35 del GDPR, le aveva inflitto una sanzione di svariate decine di migliaia di Euro. A parere del Garante, il sistema consentiva - seppur indirettamente - di desumere lo stato di salute degli utenti (positività o meno al Covid-19) semplicemente conoscendo codice fiscale e numero di telefono, senza adeguate misure di sicurezza a tutela dei dati sanitari.
ATS contestava la sanzione sostenendo di aver agito in stato di necessità, in un contesto emergenziale, e che non si erano verificati accessi indebiti.
Il Tribunale di Milano prima, e la I Sezione Civile della Suprema Corte di Cassazione poi, a mezzo della sentenza n. 28385 dell’11 novembre 2023, hanno confermato integralmente la sanzione del Garante.
La Decisione
La Corte ha ritenuto che l’ATS avesse violato l’art. 25 del GDPR, cioè il principio di privacy by design, poiché il sistema era stato attivato prima di predisporre adeguate misure di sicurezza.
In particolare, il portale era basato su un sistema di autenticazione ‘a doppia chiave’ (codice fiscale + numero di telefono), giudicato insufficiente per proteggere dati così sensibili.
Pur consapevole della necessità di introdurre una terza chiave di accesso (ultime cifre della tessera sanitaria), l’ente decideva di lanciare comunque la piattaforma, rimandando tale misura a un momento successivo.
La Corte ha ribadito che l’implementazione del principio di privacy by design impone misure proattive, preventive e non correttive.
Il titolare del trattamento deve cioè garantire la protezione dei dati fin dalla progettazione del sistema, e quindi prima dell’avvio del trattamento, non potendo giustificare la mancanza di misure adeguate con ragioni di urgenza o contingenza.
La Corte, confermando la sanzione del Garante per la protezione dei dati personali, ha ribadito che il principio di privacy by design non tollera approcci ex post: le misure tecniche e organizzative devono essere pianificate e integrate fin dalla fase di progettazione del trattamento, non potendo essere rinviate neppure in situazioni emergenziali.
Di rilievo è anche il richiamo al risk-based approach del GDPR: la valutazione preventiva del rischio è parte integrante della progettazione e condiziona l’adeguatezza delle misure di sicurezza (artt. 25 e 32). L’inosservanza di tale obbligo, osserva la Corte, non dipende dalla concreta verificazione di un danno o di un accesso illecito, ma dalla sola idoneità del sistema a esporre i dati personali a rischio.
In Sintesi
In conclusione, la Cassazione ha valorizzato la privacy by design come principio cardine della responsabilità del titolare del trattamento, trasformandolo da mero criterio tecnico a standard giuridico di diligenza applicabile anche alle amministrazioni pubbliche. La decisione conferma l’evoluzione del diritto alla protezione dei dati personali da diritto formale a diritto ‘progettuale’, integrato nelle scelte tecnologiche e organizzative dell’ente.
La sentenza n. 28385/2023 della Prima Sezione civile della Cassazione rappresenta un significativo consolidamento del principio di privacy by design, sancito dall’art. 25 del Regolamento (UE) 2016/679 (GDPR), elevandolo a criterio sostanziale di legittimità del trattamento.
A mezzo di tale decisione, è stato infatti emanato il principio di diritto secondo cui “in tema di trattamento dei dati personali, il Garante per la protezione dei dati può irrogare sanzioni anche a enti pubblici, e il titolare del trattamento è tenuto ad applicare il principio di privacy by design, predisponendo ex ante tutte le misure necessarie per assicurare la riservatezza e la sicurezza dei dati, anche in contesti emergenziali”.
Accedi/Registrati
Conto OPEN