Viktoria ComplianceStart Assessment
Torna al blog
Le migliori pratiche9 min readDecember 20, 2025

Privacy by Design ai sensi dell'articolo 25 del GDPR: Guida all'implementazione per i team di prodotto e di ingegneria

L'articolo 25 del GDPR stabilisce due obblighi complementari: la protezione dei dati per progettazione e la protezione dei dati per impostazione predefinita. Non si tratta di obiettivi aspirazionali. Sono requisiti giuridicamente vincolanti che si applicano a ogni responsabile del trattamento, applicabili con multe fino a 10 milioni di euro o al 2% del fatturato mondiale annuo, ai sensi dell'articolo 83, paragrafo 4. Tuttavia, per molti team di prodotto e di ingegneria, tradurre questi obblighi legali in flussi di lavoro pratici di sviluppo rimane una sfida.

Questa guida colma il divario tra il testo normativo e lo sviluppo quotidiano del software. Fornisce un quadro pratico per integrare la privacy nel ciclo di vita del prodotto, dalla progettazione iniziale alla distribuzione e oltre.

Comprendere l'Articolo 25

L'articolo 25, paragrafo 1, richiede che il responsabile del trattamento metta in atto misure tecniche e organizzative adeguate, volte ad attuare i principi di protezione dei dati in modo efficace e a integrare le garanzie necessarie nel trattamento. Questo obbligo si applica al momento della determinazione dei mezzi per il trattamento e al momento del trattamento stesso.

L'articolo 25, paragrafo 2, richiede che, per impostazione predefinita, vengano elaborati solo i dati personali necessari per ogni specifica finalità del trattamento. Ciò si applica alla quantità di dati raccolti, all'entità del trattamento, al periodo di conservazione e all'accessibilità. Per impostazione predefinita, i dati personali non devono essere resi accessibili senza l'intervento individuale a un numero indefinito di persone fisiche.

Le Linee guida EDPB 4/2019 sull'Articolo 25 chiariscono che l'obbligo di implementare la protezione dei dati in base alla progettazione è un requisito continuo e dinamico che deve essere valutato continuamente durante il ciclo di vita del trattamento.

I 7 Principi Fondamentali

Il quadro fondante di Ann Cavoukian per la Privacy by Design, originariamente sviluppato negli anni '90, rimane il modello concettuale più ampiamente citato. Questi sette principi costituiscono la base filosofica dell'Articolo 25:

  1. Proattivo, non reattivo; preventivo, non correttivo. Anticipare e prevenire gli eventi invasivi della privacy prima che si verifichino. Non aspetti che i rischi per la privacy si concretizzino.
  2. Privacy come impostazione predefinita. Assicurare che i dati personali siano protetti automaticamente in qualsiasi sistema. Non deve essere richiesta alcuna azione da parte dell'individuo per proteggere la sua privacy.
  3. Privacy incorporata nel design. Costruire la privacy nella progettazione e nell'architettura dei sistemi IT e delle pratiche aziendali. La privacy non è un'aggiunta a posteriori.
  4. Piena funzionalità: a somma positiva, non a somma zero. Accogliere tutti gli interessi e gli obiettivi legittimi. La privacy non deve andare a scapito della funzionalità, e la funzionalità non deve andare a scapito della privacy.
  5. Sicurezza end-to-end: protezione dell'intero ciclo di vita. Garantire misure di sicurezza adeguate ai dati durante l'intero ciclo di vita, dalla raccolta alla cancellazione.
  6. Visibilità e trasparenza: mantenere la trasparenza. Assicurare a tutti gli stakeholder che i processi che coinvolgono i dati personali funzionano secondo le promesse e gli obiettivi dichiarati, soggetti a verifica indipendente.
  7. Rispetto della privacy dell'utente: mantenere la centralità dell'utente. I progettisti e gli operatori devono tenere in primo piano gli interessi dell'individuo, offrendo forti impostazioni predefinite sulla privacy, avvisi appropriati e opzioni facili da usare.

Integrazione della privacy by design nei flussi di lavoro agili

La Privacy by Design è spesso percepita come incompatibile con lo sviluppo agile. In pratica, si integra naturalmente nei flussi di lavoro basati sugli sprint, se approcciata correttamente.

Pianificazione dello sprint

Durante la pianificazione dello sprint, ogni storia utente che coinvolge dati personali dovrebbe attivare una valutazione della privacy. Aggiunga una lista di controllo sulla privacy al suo modello di storia:

  • Questa funzione raccoglie nuovi dati personali?
  • Questa funzione cambia il modo in cui vengono elaborati i dati personali esistenti?
  • Questa funzione condivide i dati personali con i nuovi destinatari?
  • Questa funzione comporta un processo decisionale automatizzato o una profilazione?
  • La funzione può essere implementata con meno dati personali (minimizzazione dei dati)?

Se la risposta è sì, la storia richiede una revisione della privacy prima di iniziare l'implementazione. Questa revisione può essere eseguita dal DPO, da un ingegnere della privacy o da un membro del team addestrato, a seconda della complessità.

Storie utente con requisiti di privacy

I requisiti di privacy devono essere esplicitati nelle storie utente. Per esempio:

Storia utente standard: "Come utente, voglio visualizzare la mia cronologia degli ordini, in modo da poter seguire i miei acquisti".

Privacy potenziata: "Come utente, desidero visualizzare la cronologia dei miei ordini, in modo da poter seguire i miei acquisti". Criteri di accettazione: (1) Vengono visualizzati solo gli ordini appartenenti all'utente autenticato. (2) I dati dell'ordine vengono recuperati con i campi minimi necessari per la visualizzazione. (3) Gli indirizzi di consegna sono parzialmente mascherati per impostazione predefinita. (4) L'accesso viene registrato a fini di verifica".

Definizione di Fatto

La definizione di "fatto" del suo team dovrebbe includere criteri di privacy:

  • Lista di controllo sulla privacy rivista e completata
  • La minimizzazione dei dati è confermata (nessuna raccolta o conservazione di dati non necessari).
  • Controlli di accesso implementati e testati
  • L'informativa sulla privacy viene aggiornata se viene introdotta una nuova raccolta di dati
  • La conservazione dei dati è allineata alla politica di conservazione documentata.
  • DPIA aggiornato se la funzione cambia il profilo di rischio

Modelli di minimizzazione dei dati

La minimizzazione dei dati (Articolo 5(1)(c)) è l'espressione più pratica della Privacy by Design. Richiede che i dati personali siano adeguati, pertinenti e limitati a quanto necessario per le finalità del trattamento. I modelli efficaci di minimizzazione dei dati includono:

Minimizzazione della raccolta:

  • Raccoglie solo i campi necessari per lo scopo dichiarato.
  • Utilizzare una divulgazione progressiva: raccogliere inizialmente dati minimi, richiedere dati aggiuntivi solo quando necessario.
  • Eviti i campi "belli da avere": se i dati non sono necessari per l'elaborazione, non li raccolga.

Minimizzazione dell'elaborazione:

  • Elaborare i dati al più alto livello di aggregazione che serve allo scopo.
  • Utilizza la pseudonimizzazione quando l'identificazione individuale non è necessaria per l'elaborazione.
  • Implementare la separazione dei dati: memorizzare gli identificatori separatamente dai dati comportamentali.

Minimizzazione della conservazione:

  • Definisce e applica periodi di conservazione per ogni categoria di dati.
  • Implementa la cancellazione automatica o l'anonimizzazione al termine del periodo di conservazione.
  • Riveda annualmente i periodi di conservazione e li riduca, se possibile.

Minimizzazione dell'accesso:

  • Applica controlli di accesso basati sul ruolo: gli utenti devono accedere solo ai dati di cui hanno bisogno per il loro ruolo.
  • Implementare l'accesso basato sul tempo: accesso temporaneo per compiti specifici, revocato automaticamente.
  • Registra e verifica tutti gli accessi ai dati personali

Tecnologie che migliorano la privacy

L'Articolo 25 e il Considerando 78 del GDPR fanno riferimento in modo specifico a misure tecniche che includono la pseudonimizzazione e la crittografia. Una serie più ampia di tecnologie di miglioramento della privacy (PET) può rafforzare la sua implementazione Privacy by Design:

Pseudonimizzazione (Articolo 4, paragrafo 5):

Sostituire i dati di identificazione diretta (nomi, indirizzi e-mail) con identificatori pseudonimi. La mappatura tra pseudonimi e identità viene archiviata separatamente con controlli di accesso rigorosi. La pseudonimizzazione riduce il rischio in caso di violazione, pur consentendo la reidentificazione dei dati quando necessaria per un'elaborazione legittima.

Crittografia:

Implementare la crittografia a riposo (AES-256 o equivalente) per i dati personali memorizzati e la crittografia in transito (TLS 1.3) per tutte le trasmissioni di dati. La crittografia rende i dati inintelligibili alle parti non autorizzate ed è esplicitamente riconosciuta dall'Articolo 34(3)(a) come un fattore che può eliminare l'obbligo di notifica agli interessati di una violazione.

Controlli di accesso:

Implementa controlli di accesso granulari, basati sui ruoli, con il principio del minimo privilegio. Combinare con l'autenticazione a più fattori per l'accesso ai dati sensibili. Monitorare e registrare tutti gli accessi per l'audit e il rilevamento delle anomalie.

Anonimizzazione:

Quando i dati personali non sono più necessari per il loro scopo originario, ma i modelli sottostanti sono preziosi (ad esempio, l'analisi), applicare tecniche di anonimizzazione che rendano impossibile la re-identificazione. I dati veramente anonimizzati non rientrano completamente nell'ambito del GDPR. Tuttavia, siate cauti: il parere 05/2014 del Gruppo di Lavoro Articolo 29 avverte che molte tecniche di anonimizzazione presunte possono essere invertite con dati ausiliari.

Privacy differenziale:

Per i casi d'uso analitici e di apprendimento automatico, la privacy differenziale aggiunge un rumore calibrato agli insiemi di dati per evitare che vengano dedotti i singoli record. Questa tecnica consente l'analisi statistica, fornendo al contempo garanzie matematiche contro la re-identificazione.

Integrazione DPIA

La Privacy by Design e la Valutazione d'Impatto sulla Protezione dei Dati (Articolo 35) sono processi complementari. Nel caso in cui una nuova funzionalità o un nuovo sistema richieda una DPIA, l'analisi della Privacy by Design confluisce direttamente nella DPIA:

  • La valutazione della minimizzazione dei dati informa l'analisi di necessità e proporzionalità della DPIA.
  • La selezione del PET informa la sezione di mitigazione dei rischi della DPIA.
  • Il progetto del controllo degli accessi informa la sezione delle misure di sicurezza della DPIA.
  • La politica di conservazione informa l'analisi dei limiti di conservazione della DPIA.

Integrare le revisioni DPIA nel ciclo di sprint per le funzioni che comportano un'elaborazione ad alto rischio. In questo modo si evita l'anti-pattern comune di condurre le DPIA a posteriori, dopo che il sistema è già stato costruito e distribuito.

Misurare la maturità della Privacy by Design

Per andare oltre l'integrazione ad hoc della privacy, deve stabilire delle metriche che tengano conto della maturità della sua organizzazione in materia di Privacy by Design:

  • Percentuale di storie utente con liste di controllo della privacy completate
  • Numero di funzioni distribuite senza revisione della privacy (obiettivo: zero)
  • Tempo medio per risolvere i risultati sulla privacy dalla revisione del codice
  • Delta di raccolta dati: numero di nuovi campi di dati personali aggiunti rispetto a quelli rimossi per trimestre.
  • Tasso di conformità alla conservazione: percentuale di categorie di dati che rientrano nel periodo di conservazione definito.
  • Tasso di completamento DPIA: percentuale di caratteristiche ad alto rischio con DPIA completate prima dell'implementazione

Costruire una cultura di ingegneria della privacy

La Privacy by Design, in ultima analisi, ha successo o fallisce in base al fatto che i team di ingegneri interiorizzino la privacy come vincolo di progettazione. Ciò richiede:

  • Formazione: Formazione regolare sull'ingegneria della privacy per sviluppatori, QA e product manager.
  • Tooling: Strumenti di privacy linting, integrazioni di mappatura dei flussi di dati e trigger PIA automatizzati nella sua pipeline CI/CD.
  • Campioni: Designi dei campioni della privacy all'interno di ciascun team di ingegneria, che fungano da primo punto di contatto per le domande sulla privacy.
  • Incentivi: Riconoscere e premiare le decisioni di progettazione a tutela della privacy. La privacy deve essere un attributo di qualità, non un ostacolo burocratico.
  • Cicli di feedback: Condividere le azioni di applicazione, i casi di violazione e i risultati degli audit con i team di ingegneria per mantenere la consapevolezza delle conseguenze reali.

L'Articolo 25 non è un esercizio di spunta. Si tratta di un impegno continuo a costruire sistemi che rispettino la privacy individuale per progettazione e per impostazione predefinita. Le organizzazioni che incorporano questo impegno nella loro cultura ingegneristica scopriranno che la privacy diventa un fattore abilitante, non un vincolo: costruendo la fiducia degli utenti, riducendo il rischio di violazione e dimostrando la responsabilità richiesta dal GDPR.

Verifica la tua prontezza alla conformità

Esegui la nostra valutazione gratuita di prontezza a GDPR, NIS2 e Regolamento IA e ricevi raccomandazioni personalizzate in pochi minuti.

Avvia la valutazione gratuita

EU Compliance Weekly

Get the latest regulatory updates, compliance tips, and enforcement news delivered to your inbox every week.

We respect your privacy. Unsubscribe anytime.