Privacy by design e by default: cosa significano e come si applicano

Cosa significano privacy by design e privacy by default (art. 25 GDPR), qual è la differenza tra i due principi, chi è obbligato a rispettarli, esempi concreti per imprese e PA, il legame con la DPIA e le sanzioni.
In breve — Privacy by design significa che la protezione dei dati va progettata dentro prodotti, servizi e processi fin dall’inizio, non aggiunta dopo; privacy by default significa che le impostazioni predefinite devono essere le più protettive: si trattano solo i dati necessari, per il tempo necessario, accessibili a chi serve (art. 25 del GDPR). Non sono raccomandazioni per informatici ma obblighi giuridici del titolare del trattamento, che valgono per ogni organizzazione — dall’e-commerce al Comune — ogni volta che si disegna un modulo, si acquista un software o si avvia un servizio. La loro violazione è sanzionabile in autonomia, fino a 10 milioni di euro o al 2% del fatturato.
1. Cosa significa privacy by design
Privacy by design significa, alla lettera, protezione dei dati fin dalla progettazione. L’idea è semplice: quando un’organizzazione crea qualcosa che tratterà dati personali — un servizio, un software, un modulo, un processo di lavoro — la protezione di quei dati deve essere pensata da subito, nel momento in cui la cosa viene disegnata, e non aggiunta dopo, quando ormai è in funzione.
Qualche esempio concreto. Chi prepara un modulo deve chiedersi prima quali dati servono davvero. Chi sceglie un gestionale deve verificare prima che permetta di cancellare i dati alla scadenza. Chi avvia un servizio deve decidere prima chi potrà vedere le informazioni. In una parola: la domanda “e la privacy?” va fatta quando si progetta, non quando qualcosa è già andato storto. È la stessa logica della valutazione d’impatto: correggere un difetto sulla carta costa poco, correggerlo su un sistema in funzione costa molto.
La norma · Art. 25 GDPR
Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito, del contesto e delle finalità del trattamento, il titolare mette in atto — sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso — misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare i principi di protezione dei dati, come la minimizzazione (par. 1). Il titolare garantisce inoltre che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità (par. 2).
2. Cosa significa privacy by default
Privacy by default significa protezione dei dati per impostazione predefinita. Anche qui l’idea è semplice: ogni servizio o sistema ha delle impostazioni “di fabbrica” — quelle che valgono finché qualcuno non le cambia. Il GDPR impone che quelle impostazioni siano le più protettive: chi usa il servizio senza toccare nulla deve trovarsi, automaticamente, nella configurazione che raccoglie meno dati, li conserva meno a lungo e li rende accessibili al minor numero di persone.
Il ragionamento dietro la regola è concreto: la maggior parte delle persone non modifica mai le impostazioni. Se la configurazione preattivata è quella invasiva, l’inerzia degli utenti diventa uno strumento per raccogliere più dati del dovuto. Il by default rovescia la logica: la protezione non deve essere una scelta da fare, ma la condizione di partenza — chi vuole condividere di più potrà farlo, con una scelta consapevole.
3. La differenza tra by design e by default
I due principi viaggiano insieme e si confondono spesso, ma il fuoco è diverso:
- il by design riguarda il come si progetta: la protezione dei dati deve entrare nelle scelte di fondo — quali dati raccogliere, con quali strumenti, con quali salvaguardie — fin dal primo disegno del trattamento;
- il by default riguarda il come è impostato: qualunque cosa sia stata progettata, la configurazione che l’utente trova già attiva deve essere la più protettiva, senza che debba fare nulla per ottenerla.
Detto altrimenti: il by design protegge le persone attraverso le scelte del progettista, il by default le protegge anche quando non scelgono affatto. Un sistema può essere ben progettato ma tradire il by default (le impostazioni permissive preattivate); e viceversa. Il GDPR li vuole entrambi.
4. Chi è obbligato
L’obbligo grava sul titolare del trattamento — non sul fornitore del software, non sul webmaster, non sull’installatore. È una precisazione importante, perché l’equivoco è frequente: l’art. 25 non è una norma “per informatici”, ma per chiunque organizzi un trattamento.
Vale quindi per l’e-commerce che disegna il funnel di acquisto, per l’azienda che compra un CRM o un sistema di badge, per lo studio professionale che imposta l’archivio clienti, per il Comune che attiva un servizio online o un impianto di videosorveglianza. Chi acquista tecnologia “chiavi in mano” non è esonerato: scegliere fornitori e prodotti che consentano di rispettare il GDPR è essa stessa una scelta by design — e la scelta di un responsabile del trattamento che offra garanzie sufficienti ne è parte integrante.
5. Come si applica in concreto
Il principio diventa reale nelle scelte operative. Le linee guida EDPB 4/2019 insistono su un punto: le misure devono essere efficaci — non basta adottarle sulla carta, devono produrre risultati verificabili sul trattamento concreto. Alcuni esempi, sul fronte impresa e sul fronte PA:
- minimizzazione nei moduli — ogni campo del form deve avere una giustificazione: se per rispondere a una richiesta basta l’email, chiedere anche data di nascita e telefono viola il by design;
- pseudonimizzazione e cifratura — dove il trattamento lo consente, i dati vanno resi non direttamente riconducibili alla persona;
- conservazione a scadenza automatica — i sistemi vanno configurati perché i dati si cancellino o si anonimizzino da soli al termine previsto, senza affidarsi alla memoria di qualcuno;
- accessi per ruolo — ciascuno vede solo i dati che servono alla propria funzione, non l’intero archivio;
- impostazioni predefinite protettive — niente caselle pre-spuntate, niente profili pubblici di default, niente condivisioni automatiche;
- scelta dei fornitori — nel capitolato o nel contratto entrano i requisiti privacy: dove risiedono i dati, chi vi accede, come si cancellano a fine rapporto.
Per la pubblica amministrazione il discorso è identico, con una specificità: i servizi al cittadino nascono spesso da moduli storici mai ripensati, che raccolgono più dati di quanti la finalità richieda. Ridisegnarli in ottica by design è, oltre che un obbligo, un’occasione di semplificazione.
6. Il legame con la DPIA e l’accountability
By design e by default non vivono da soli: sono il principio, di cui la DPIA è lo strumento operativo per i trattamenti più rischiosi. Quando la valutazione d’impatto analizza un trattamento prima di avviarlo e orienta le scelte su tecnologie, dati e misure, sta facendo esattamente privacy by design — documentandola.
E qui entra l’accountability: non basta progettare bene, bisogna poterlo dimostrare. Le scelte di progettazione — perché quei dati, perché quel fornitore, perché quelle impostazioni — vanno tracciate. In un controllo, il titolare che sa mostrare come ha ragionato parte da una posizione completamente diversa da chi ha solo un sistema “che funziona”.
7. Le sanzioni
La violazione dell’art. 25 è autonomamente sanzionabile: fino a 10 milioni di euro o al 2% del fatturato mondiale annuo (art. 83, par. 4). Non serve che si verifichi un danno o un data breach: la carenza di progettazione è di per sé contestabile.
E non è teoria: l’art. 25 è già stato applicato in provvedimenti concreti.
I casi · Sanzioni del Garante sull'art. 25
Aeroporto di Bologna (provv. 10 giugno 2021): l'applicativo per le segnalazioni whistleblowing trasmetteva e conservava i dati senza cifratura — violazione espressa degli artt. 25 e 32. Sanzionati sia il titolare (40.000 euro) sia il fornitore-responsabile (20.000 euro): la progettazione carente costa a entrambi.
INPS (provv. 25 febbraio 2021, 300.000 euro): i controlli antifrode sui "bonus Covid" dei titolari di cariche politiche erano stati progettati male — estesi anche a chi il bonus non l'aveva mai percepito — in violazione della minimizzazione. Un processo di verifica disegnato senza logica by design.
Più in generale, il difetto di progettazione emerge di continuo dentro i provvedimenti su altri temi: moduli che raccolgono dati eccedenti, sistemi senza scadenze di conservazione, impostazioni predefinite invasive. Quando qualcosa va storto, la domanda dell’Autorità è sempre la stessa: questo problema si poteva evitare in fase di progettazione? Se la risposta è sì, la responsabilità si aggrava.
8. Come ti assiste lo Studio Legale Calzoni
Applicare la privacy by design non significa rallentare i progetti: significa impostarli una volta sola, nel modo giusto. Lo Studio Legale Calzoni offre consulenza privacy e GDPR a imprese ed enti pubblici e affianca il titolare nella fase di progettazione: analisi privacy di nuovi servizi, moduli e software prima dell’avvio, requisiti privacy nei contratti con i fornitori, revisione delle impostazioni predefinite, raccordo con DPIA e registro dei trattamenti. Intervenire sul progetto costa sempre meno che rimediare sul sistema in funzione.
Domande frequenti
Cosa significa privacy by design? Che la protezione dei dati personali va integrata nella progettazione di prodotti, servizi e processi fin dall’inizio (art. 25, par. 1, GDPR): le scelte su quali dati raccogliere, con quali strumenti e con quali salvaguardie si fanno prima di avviare il trattamento, non dopo.
Cosa significa privacy by default? Che le impostazioni predefinite devono essere le più protettive: per impostazione predefinita si trattano solo i dati necessari a ciascuna finalità, per il tempo necessario, accessibili al minor numero di persone (art. 25, par. 2). Chi non modifica nulla deve trovarsi nella configurazione più riservata.
Qual è la differenza tra privacy by design e by default? Il by design riguarda come si progetta il trattamento (le scelte di fondo); il by default riguarda come è configurato per chi non sceglie nulla (le impostazioni preattivate). Il primo protegge attraverso la progettazione, il secondo anche in assenza di scelte dell’utente.
Chi è obbligato alla privacy by design? Il titolare del trattamento: ogni organizzazione che disegna o adotta un processo, un servizio o un software che tratta dati personali. Non è un obbligo dei soli fornitori IT — anche chi acquista tecnologia “chiavi in mano” deve sceglierla e configurarla in modo conforme.
Un esempio di violazione del by default? La casella della newsletter già spuntata in un modulo di iscrizione, il profilo pubblico preimpostato, l’archivio condiviso con tutto l’ufficio, il gestionale che conserva i dati a tempo indeterminato: in tutti questi casi l’impostazione predefinita è più invasiva del necessario.
Cosa si rischia violando l’art. 25? Sanzioni fino a 10 milioni di euro o al 2% del fatturato mondiale annuo, anche senza un danno concreto: la carenza di progettazione è contestabile di per sé, e aggrava la posizione del titolare quando emergono altre violazioni.
I contenuti di questa pagina si riferiscono a fattispecie generali e non possono in alcun modo sostituire il contributo di un avvocato. Per ottenere un parere legale in ordine alla questione giuridica che interessa è possibile richiedere una consulenza, oppure fissare un appuntamento. Gli autori declinano ogni responsabilità per errori od omissioni, nonché per un utilizzo improprio o non aggiornato delle presenti informazioni.