Privacy by Design e Privacy by Default

Protezione dei dati fin dalla progettazione e Protezione per impostazione predefinita

 Privacy by design – Protezione dei dati fin dalla progettazione

In base al principio della privacy by design, tradotto con la locuzione italiana Protezione dei dati fin dalla progettazione, il titolare del trattamento deve adottare misure tecniche ed organizzative adeguate per attuare in modo efficace i principi di protezione dei dati e per integrare nel trattamento le necessarie garanzie di attuazione del Regolamento e di tutela degli interessati.

Tali interventi devono essere effettuati sia al momento di determinare i mezzi del trattamento, sia all’atto del trattamento stesso.

Parametri per la verifica dell’adeguatezza delle misure tecniche ed organizzative adottate sono:

– lo stato dell’arte e costi di attuazione,

– la natura del trattamento,

– l’ambito di applicazione del trattamento,

– il contesto,

– le finalità del trattamento.

Il principio della privacy by design prevede che il titolare del trattamento debba tenere in considerazione la protezione della riservatezza dei dati personali degli interessati cui il trattamento si riferisce sin dall’ideazione e dalla progettazione delle attività di trattamento che intende porre in essere.

Come?

Applicando misure tecniche e organizzative adeguate volte ad attuare in modo efficace i principi di protezione dei dati e integrando nel trattamento le necessarie garanzie per tutelare i diritti degli interessati.

Quindi tale adempimento va effettuato sia al momento di determinare i mezzi del trattamento (es: progettazione di device) sia all’atto del trattamento stesso

Privacy by default – Protezione per impostazione predefinita

Per il principio della privacy by default, o, nella versione italiana, della Protezione per impostazione predefinita, il titolare del trattamento deve adottare misure tecniche ed organizzative adeguate per assicurare che siano trattati per impostazione predefinita soltanto i dati personali necessari per ogni specifica finalità del trattamento, in particolare, per garantire che per impostazione predefinita i dati personali non siano resi accessibili a un numero indefinito di persone fisiche senza l’intervento della persona fisica.

L’obbligo riguarda, in particolare:

– la quantità dei dati personali raccolti

– la portata del trattamento

– il periodo di conservazione dei dati

– l’accessibilità.

L’art. 25 GDPR, che regolamenta i due principi, si conclude affermando che Un meccanismo di certificazione (link al tema Certificazioni) approvato ai sensi dell’articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.

Esempio

Il  principio  della  privacy  by  default  impone al titolare  del  trattamento  di svolgere il trattamento nella  misura  e  per  il  tempo  necessari  a  raggiungere  le  relative  finalità,   implementando,   all’interno   degli   ambienti   (ad esempio dei   sistemi   informatici   e   delle infrastrutture di rete utilizzate per tale trattamento) le misure tecniche idonee a proteggere i dati personali degli interessati garantendo che non siano resi accessibili  a  un  numero  indefinito  di  persone  fisiche  senza  l’intervento  di una persona   fisica   (che consapevolmente   disponga   il   settaggio   del   servizio scegliendo  di  condividere  con  i  terzi  i  dati  personali  oggetto  di  trattamento  nell’ambito  della operatività del servizio).