La privacy by design e la privacy by default sono i due obblighi imposti dall’art. 25 del GDPR (Regolamento UE 2016/679). L’art. 25, paragrafo 1, impone la protezione dei dati fin dalla progettazione: il titolare del trattamento deve integrare misure tecniche e organizzative adeguate — come la pseudonimizzazione e la minimizzazione — sin dal momento in cui determina i mezzi del trattamento e per tutta la sua durata, tenendo conto dello stato dell’arte, dei costi e dei rischi. L’art. 25, paragrafo 2, impone la protezione per impostazione predefinita: per impostazione predefinita devono essere trattati solo i dati personali necessari per ciascuna specifica finalità, sia sotto il profilo della quantità raccolta, sia dell’estensione del trattamento, del periodo di conservazione e dell’accessibilità. In sintesi: la tutela dei dati non è un’aggiunta successiva, ma un requisito architetturale, e la configurazione più protettiva deve essere quella predefinita, non un’opzione da attivare.
Non si tratta di un principio astratto. L’art. 25 è direttamente sanzionabile e figura tra le disposizioni più citate nei procedimenti in cui il Garante per la protezione dei dati personali contesta l’assenza di misure documentabili. Questa guida spiega la differenza tra i due paragrafi, quali misure tecniche e organizzative li concretizzano, come si traducono in scelte progettuali e come dimostrarne l’attuazione nel quadro dell’accountability.
By design e by default: due obblighi distinti
I due paragrafi dell’art. 25 sono spesso confusi, ma rispondono a domande diverse.
La privacy by design (paragrafo 1) risponde alla domanda: come è costruito il trattamento? Impone di pensare alla protezione dei dati nella fase di progettazione di un sistema, di un prodotto o di un processo, prima che i dati vengano raccolti. La valutazione è dinamica: il titolare deve considerare lo stato dell’arte tecnologico, i costi di attuazione, la natura e le finalità del trattamento e i rischi per i diritti e le libertà degli interessati. Non esiste una lista chiusa di misure: la scelta è proporzionale al rischio.
La privacy by default (paragrafo 2) risponde a un’altra domanda: quale configurazione trova l’utente al primo utilizzo? Impone che, senza alcun intervento dell’interessato, il sistema tratti solo il minimo indispensabile. Il paragrafo 2 declina il principio su quattro dimensioni: la quantità di dati raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. Una piattaforma il cui profilo utente è pubblico per impostazione predefinita, e che richiede un’azione per renderlo privato, viola questo obbligo.
La distinzione è pratica: si può progettare bene un sistema (by design) e configurarlo male alla consegna (by default), o viceversa. L’art. 25 richiede entrambe le cose.
Le misure tecniche e organizzative
L’art. 25 cita espressamente pseudonimizzazione e minimizzazione, ma il ventaglio è più ampio. Le misure si dividono in tecniche (che agiscono sul sistema) e organizzative (che agiscono sui processi e sulle persone).
| Misura | Tipo | Cosa fa in pratica |
|---|---|---|
| Minimizzazione dei dati | Tecnica/Organizzativa | Raccogliere solo i campi necessari alla finalità; eliminare i campi facoltativi non giustificati |
| Pseudonimizzazione | Tecnica | Separare i dati identificativi dai dati di trattamento, con chiavi conservate a parte |
| Impostazioni predefinite restrittive | Tecnica | Visibilità, geolocalizzazione, condivisione disattivate al primo accesso |
| Cifratura | Tecnica | Proteggere i dati a riposo e in transito |
| Limitazione della conservazione | Tecnica/Organizzativa | Cancellazione automatica alla scadenza dei termini di conservazione |
| Controllo degli accessi | Tecnica/Organizzativa | Principio del privilegio minimo: ciascuno accede solo ai dati necessari |
| Formazione e procedure | Organizzativa | Istruzioni al personale autorizzato, policy interne, revisioni periodiche |
La scelta delle misure non è un catalogo da spuntare, ma il risultato di un’analisi del rischio. Le tecniche di anonimizzazione e pseudonimizzazione meritano un approfondimento a sé, perché producono effetti giuridici molto diversi: la pseudonimizzazione è una misura di sicurezza che lascia i dati nel perimetro del GDPR, mentre l’anonimizzazione, se efficace, li fa uscire.
Esempi concreti di applicazione
Il valore dell’art. 25 si coglie negli esempi.
Un form web. Progettare by design significa chiedersi, per ogni campo, se è davvero necessario alla finalità. Un modulo di iscrizione a una newsletter ha bisogno solo dell’indirizzo e-mail: chiedere data di nascita, indirizzo e numero di telefono viola la minimizzazione. Applicare il by default significa che eventuali flag di consenso al marketing di terzi siano vuoti, non pre-spuntati.
Una app mobile. By design impone di limitare i permessi richiesti (posizione, rubrica, fotocamera) a quelli indispensabili alla funzione. By default impone che la geolocalizzazione continua sia disattivata all’installazione e attivabile solo su scelta esplicita dell’utente.
I default di visibilità di un social o di una community. Un profilo che nasce pubblico, con i contenuti indicizzabili dai motori di ricerca, contraddice il paragrafo 2. La configurazione predefinita deve essere quella meno esposta; l’utente resta libero di aumentare la visibilità, ma per scelta consapevole.
Un gestionale aziendale. By design impone di segregare gli accessi per ruolo; by default impone che un nuovo utente non veda l’intero database, ma solo i dati coerenti con le sue mansioni.
Chi progetta i moduli di raccolta con questa logica costruisce anche le basi per un consenso valido, perché la scelta più protettiva è quella di partenza e l’utente non è indotto a cedere più dati del necessario.
Rapporto con DPIA e minimizzazione
L’art. 25 non vive isolato. È il punto in cui convergono altri due pilastri del Regolamento.
Con il principio di minimizzazione (art. 5, paragrafo 1, lettera c) il legame è diretto: la privacy by default è, in larga misura, la traduzione operativa della minimizzazione nelle impostazioni di un sistema. Anche la limitazione della conservazione discende dallo stesso principio: conservare i dati oltre il necessario contraddice tanto l’art. 5 quanto l’art. 25, paragrafo 2.
Con la valutazione d’impatto sulla protezione dei dati il legame è procedurale. La DPIA, obbligatoria ai sensi dell’art. 35 per i trattamenti ad alto rischio, è lo strumento con cui il titolare individua i rischi e sceglie le misure. In pratica, la privacy by design si documenta proprio nella DPIA: è lì che si dà conto delle alternative progettuali considerate e delle misure adottate per ridurre il rischio residuo. Progettazione e valutazione d’impatto sono quindi due facce dello stesso obbligo di accountability.
Come dimostrare la conformità
L’art. 25 impone un obbligo di risultato, ma davanti al Garante conta la prova. La conformità si dimostra con la documentazione: verbali delle scelte progettuali, DPIA che spiegano perché sono state adottate certe misure, screenshot delle impostazioni predefinite, policy interne sugli accessi, aggiornamento del registro delle attività di trattamento che riporta le misure tecniche e organizzative previste dall’art. 30, paragrafo 1, lettera g. Il paragrafo 3 dell’art. 25 aggiunge che l’adesione a un meccanismo di certificazione approvato può essere utilizzata come elemento per dimostrare la conformità.
Il riferimento tecnico principale sono le Linee guida 4/2019 dell’EDPB sull’articolo 25, adottate nella versione definitiva nel 2020, che chiariscono come tradurre i principi in misure concrete e forniscono esempi settoriali. Il Comitato europeo insiste su un punto: la conformità non si valuta al momento della progettazione una volta per tutte, ma va mantenuta per l’intero ciclo di vita del trattamento. Uno strumento come Legiscope aiuta a rendere tracciabile questo percorso, collegando ogni trattamento del registro alle misure tecniche e organizzative adottate e alla relativa DPIA, così da poter esibire la prova dell’accountability in caso di ispezione.
Domande frequenti
Qual è la differenza tra privacy by design e privacy by default?
La privacy by design (art. 25, paragrafo 1) riguarda il modo in cui il trattamento è progettato: impone di integrare misure di protezione fin dalla fase di ideazione del sistema. La privacy by default (art. 25, paragrafo 2) riguarda la configurazione iniziale: impone che, senza alcun intervento dell’utente, siano trattati solo i dati strettamente necessari alla finalità. La prima è un principio di progettazione, la seconda un requisito sulle impostazioni predefinite. L’art. 25 le richiede entrambe.
L’art. 25 si applica solo a chi sviluppa software?
No. L’obbligo grava sul titolare del trattamento, non sul produttore della tecnologia. Anche un’organizzazione che acquista un software di terzi deve configurarlo secondo i principi dell’art. 25 e scegliere fornitori che offrano impostazioni conformi. Il Considerando 78 incoraggia i produttori a tenere conto della protezione dei dati nello sviluppo dei prodotti, ma la responsabilità giuridica resta del titolare che decide finalità e mezzi del trattamento.
Come si dimostra di aver applicato la privacy by design?
Con la documentazione delle scelte compiute: la DPIA che motiva le misure adottate, il registro dei trattamenti che riporta le misure tecniche e organizzative, i verbali di progettazione, le prove delle impostazioni predefinite restrittive e le policy interne sugli accessi. L’adesione a un meccanismo di certificazione approvato può concorrere a dimostrare la conformità ai sensi dell’art. 25, paragrafo 3. La regola è quella generale dell’accountability: ciò che non è documentato, per il Garante, non è stato fatto.
Conclusione
La privacy by design e by default non è un principio decorativo, ma un obbligo tecnico e organizzativo direttamente sanzionabile ai sensi dell’art. 25 del GDPR. Il paragrafo 1 chiede di progettare i trattamenti integrando misure come pseudonimizzazione e minimizzazione fin dall’inizio; il paragrafo 2 chiede che la configurazione predefinita sia sempre la più protettiva, limitando quantità, portata, conservazione e accessibilità dei dati. I due obblighi si documentano nella DPIA e nel registro dei trattamenti, si nutrono del principio di minimizzazione e trovano nelle Linee guida 4/2019 dell’EDPB il loro riferimento operativo. La regola pratica è semplice da enunciare e impegnativa da rispettare: la scelta più protettiva deve essere quella di partenza, e ogni decisione progettuale deve poter essere provata.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial