PRIVACY E TRASPARENZA

Privacy by design e privacy by default

Art. 25 reg. UE 2016/679

PRIVACY BY DESIGN

IL PRINCIPIO

Il GDPR ha inteso inserire l'incombente della protezione dei dati tra gli adempimenti normali e ordinari di ogni operazione che comporti il trattamento dei dati personali, elaborando il principio della privacy by design: la tutela della privacy non deve costituire un mero incombente da trattare in coda, ma piuttosto una modalità operativa che permea fin dall'inizio ogni processo che comporti il trattamento di dati personali. 

Quindi, in funzione del principio della privacy by design, il Titolare del trattamento deve adottare delle misure protettive dei dati personali fin dalla progettazione dello strumento, del prodotto o del sistema. 

LE MISURE

Il GDPR raccomanda l'utilizzo di misure tecniche quali la pseudonimizzazione (sostituzione delle informazioni personali con un codice) e la cifratura (codifica dei messaggi i quali sono leggibili soltanto ai possessori della chiave). 

PRIVACY BY DEFAULT

IL PRINCIPIO

Il co. 2 dell'art. 25 GDPR introduce il principio della protezione dei dati per impostazione predefinita. Quindi, per impostazione predefinita, i Titolari devono trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini. 

Nel trattamento dei dati il Titolare deve tenere in debita considerazione: la quantità dei dati raccolti, la portata ed ampiezza del trattamento, il periodo di conservazione e l'accessibilità dei dati. Ne deriva che ogni operazione che comporti il trattamento di dati personali deve essere (prima impostata e poi) eseguita di default nel modo meno invasivo possibile per la privacy degli interessati. 

I MECCANISMI DI CERTIFICAZIONE

Il 3 co., art. 25, GDPR dà al Titolare del trattamento la possibilità di dimostrare la conformità del trattamento ai principi della privacy by design e privacy by default attraverso un meccanismo di certificazione ex art. 42, GDPR.

L'adesione ad un meccanismo di certificazione non è, tuttavia, sufficiente a dimostrare la conformità del trattamento: oltre alla certificazione dovrà essere contemplata una serie di altri indici, tra cui l'adeguatezza delle procedure e la presenza di documentazione attestante le decisioni prese.