fbpx
Privacy by default

Privacy by default

Privacy by default e GDPR

Il precedente articolo si intitolava “Privacy by design e GDPR“. Adesso parleremo del tema previsto dall’art. 25, par. 2 del GDPR: la privacy by default.

Nell’articolo intitolato “Accountability, la novità più grande del GDPR“, abbiamo detto che privacy by default significa che proteggere i dati debba essere la regola predefinita. Infatti in italiano questa tipologia di privacy viene tradotta con: protezione dei dati per impostazione predefinita. Quindi, devono essere raccolti solo quei dati personali necessari per la specifica finalità. Ciò in conformità a quanto stabilito dal principio di minimizzazione

Raffronto tra privacy by design e privacy by default

Grazie alla privacy by design:

  1. si consente ai consumatori di avere una totale consapevolezza di come i loro dati siano tutelati;
  2. i consumatori possono facilmente gestire i propri dati.

Quindi, in quest’epoca di innovazione tecnologica, attuare bene la privacy by design permette alle aziende di avere un vantaggio competitivo rispetto ai propri competitor. Difatti, i consumatori si sentiranno maggiormente tutelati da una privacy by design attuata bene.

Grazie alla privacy by default:

Il titolare del trattamento deve adottare tutte quelle misure tecniche e organizzative che garantiscano che i dati siano trattati per impostazione predefinita. Ciò in modo che siano rispettati contemporaneamente e parallelamente i principi di necessità e di finalità del trattamento. Tutti i dati registrati in banche dati sono della natura e delle specie più diverse. Probabilmente tutti questi dati sono trattati, registrati e conservati per finalità diverse. Privacy by default significa che tutti questi dati dovranno essere trattati a seconda delle diverse finalità di trattamento, nel rispetto del principio di necessità. Anche qui, questo obbligo vale per una serie di elementi:

  • la quantità di dati raccolti;
  • la portata del trattamento;
  • il periodo di conservazione;
  • l’accessibilità.

Il GDPR stabilisce poi che: “per impostazione predefinita non possono essere resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento di una persona fisica”. Quindi in questo caso sono vietati gli automatismi.

Cosa accomuna il principio di privacy by design con il principio di privacy by default?

In comune queste due tipologie di privacy, hanno la possibilità di poter utilizzare le certificazioni previste dall’art. 42 del GDPR, come elemento per dimostrare di essere conformi ai requisiti previsti dal Regolamento. Tuttavia, la certificazione non riduce la responsabilità del titolare o del responsabile. Infatti rimangono in piedi i poteri di vigilanza dell’autorità di controllo, ossia del Garante.

Contattaci subito per un preventivo

10 + 15 =

Valutazione d’impatto sulla protezione dei dati

Valutazione d’impatto sulla protezione dei dati

Valutazione d’impatto sulla protezione dei dati personali

Legame tra accountability e DPIA

Il precedente articolo era incentrato sul concetto di accountability. In questo, parleremo della valutazione d’impatto sulla protezione dei dati personali. Il motivo per il quale vedremo oggi questa tematica, è che è strettamente legata al principio di accountability. Infatti, la valutazione d’impatto, è un documento che dimostra se il titolare è stato responsabile nella progettazione del trattamento. Questo tema è conosciuto anche con il nome di DPIA (data protection impact assessment), ed è lo strumento di prevenzione più potente previsto dal GDPR che si basa sulla valutazione dei rischi.

Ma quali rischi?

I rischi sono quelli ai quali possono andare incontro i dati personali nel momento in cui vengono trattati. Quindi, il fatto che il titolare del trattamento debba valutare questi rischi, gli permette di offrire una maggiore tutela ai dati dell’interessato.

Documentazione della valutazione d’impatto

Questa valutazione deve essere sempre documentata nel Registro dei trattamenti. In questo registro devono essere inserite anche le misure di sicurezza. Ciò consente di responsabilizzare il titolare in quanto prende consapevolezza di quello che sta facendo. Nel caso in cui venga poi fatta una ispezione, è probabile che l’ispettore chieda che gli venga fornito il Registro dei trattamenti.

Quando abbiamo l’obbligo di fare la DPIA?

Per i trattamenti di dati personali “normali”, non vi è questo obbligo. Invece, per i trattamenti di dati personali che il Codice Privacy definisce “sensibili” è previsto l’obbligo di fare la valutazione d’impatto.

Ma perché?

Perché in questo caso il trattamento dei dati personali determina un rischio elevato per la tutela dei dati. Purtroppo il concetto di “rischio elevato” non è definito dal GDPR.

Qual’è il momento giusto per redigere la valutazione d’impatto?

La DPIA deve essere fatta prima che il trattamento dei dati abbia luogo. Sono tre le motivazioni che ci portano a dire questo:

  1. capire se il trattamento che vogliamo porre in essere sia o no lecito.
  2. individuare quali sono i rischi che eventualmente il trattamento presenta.
  3. comprendere come mitigare i rischi.

 

Nel prossimo articolo parleremo dei 9 criteri in base ai quali è probabile che ci troveremo di fronte ad un rischio elevato che giustifichi l’obbligo di redigere una DPIA.

Contattaci subito per un preventivo

4 + 13 =

Il consenso nel GDPR. Granulare e consapevole

Il consenso nel GDPR. Granulare e consapevole

Il consenso nel GDPR. Granulare e consapevole

Rapporto tra informativa e consenso

Prima di cominciare a parlare di consenso granulare e consapevole, e più in generale di consenso, facciamo un raffronto con un precedente articolo. Lì abbiamo parlato dell’informativa privacy.

Ma qual’è il rapporto che si instaura tra informativa e consenso?

  1. L’informativa deve permettere di esprimere un consenso granulare.
  2. No informativa… no consenso: come direbbe George Cloney se dovesse riferirsi a questa tematica. L’informativa è un passaggio essenziale. Io devo sapere come vengono trattati i miei dati prima di prestare il mio consenso.

Ma cosa significa consenso granulare? Prima di rispondere a questa domanda, facciamo un parallelo tra questi due concetti. C’è un elemento che li accomuna: l’imprescindibile presenza di certe caratteristiche.

  • Informativa:
  1. completezza,
  2. brevità,
  3. comprensibilità.
  • Consenso:
  1. inequivocabile,
  2. specifico,
  3. libero,
  4. informato.

Queste caratteristiche tipiche del consenso, sono espresse dall’art. 4 paragrafo 11 del GDPR. Qui si dice che il consenso dell’interessato è:

qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.

Il consenso granulare e consapevole

Rispondiamo adesso alla domanda: cosa significa consenso granulare?

Che il soggetto interessato può esprimere il suo consenso al trattamento dei suoi dati non necessariamente con riferimento a tutte le tipologie di trattamento. Può infatti darlo anche solo con riguardo ad alcune tipologie di dati e non per altre. Il concetto di granularità tende a legarsi ad una caratteristica specifica del consenso di cui abbiamo appena parlato: la specificità.

Consenso specifico, granulare e consapevole

Il consenso granulare deve essere specifico. Cioè, non abbiamo solo il riferimento alla granularità con riguardo alla tipologia di dati trattati, ma anche con riferimento alle finalità specifiche del trattamento. Quindi l’interessato può dire che acconsente a che i suoi dati vengano trattati, ma con riferimento a delle specifiche finalità e non ad altre. Ciò permette all’interessato di essere consapevole di ciò che sta facendo nel momento in cui dà il consenso. Infatti, quando deve compiere questa decisione, si rende anche conto di quali obiettivi le aziende vogliano raggiungere grazie all’utilizzo dei suoi dati.

Conclusioni

Da questa breve analisi del consenso al trattamento dei dati personali si evince che, con l’avvento del GDPR, questa tematica è stata ulteriormente rafforzata a favore di una maggiore tutela dell’interessato.

Tuttavia dobbiamo ricordarci che il Codice Privacy, ossia il decreto legislativo 196/2003, è ancora in vigore. C’è stato un momento nel quale sembrava che tale decreto sarebbe stato del tutto abrogato con l’introduzione del GDPR, ma alla fine la scelta è stata un’altra. Tale decreto è rimasto in piedi, ma è stato novellato dal decreto legislativo 101/2018. Entrambi i decreti devono comunque essere letti e interpretati alla luce del GDPR.

Contattaci subito per un preventivo

15 + 13 =

Privacy by design e GDPR

Privacy by design e GDPR

Privacy by design e GDPR

In un precedente articolo abbiamo già accennato al concetto di privacy by design. Avevamo detto che privacy by design significa proteggere i dati fin dalla loro progettazione. Ossia il trattamento prima di metterlo in atto va pensato per capire come proteggere i dati. Una misura che rappresenta questa tipologia di privacy è quella della pseudonimizzazione.

Art. 25, par. 1: privacy by design

Oggi parleremo più approfonditamente di questa tematica. Innanzitutto, possiamo trovare la privacy by design all’art. 25, par. 1 del GDPR, e la sua traduzione in italiano è protezione dei dati fin dalla progettazione.

La privacy by design deve essere attuata tenendo conto:

  1. dello stato dell’arte e dei costi di attuazione;

  2. della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento;

  3. dei rischi aventi probabilità e gravità diverse di verificarsi che possano andare ad incidere sui diritti e sulle liberà delle persone fisiche.

I rischi

La tematica dei rischi la avevamo già affrontata in due precedenti articoli:

Il GDPR fa spesso riferimento al concetto di rischio e di rischio elevato. Infatti potremmo dire che le due colonne portanti in tema di protezione dei dati personali sono:

  1. da un lato i rischi;
  2. dall’altro il tema della responsabilizzazione.

Se perciò volessimo sintetizzare questo concetto, potremmo scrivere la seguente equazione:

Accountability + Risck-based approch = Privacy/ Data protection impact assessment

Quando deve essere attuata la protezione dei dati fin dalla progettazione? Quali sono le sue caratteristiche?

Fin dal momento dell’inizio del trattamento. Infatti per valutare se si è conformi al GDPR, la privacy è necessario che sia incorporata nella progettazione del prodotto stesso. Cioè si dovrebbe poter valutare la conformità del nostro trattamento fin dall’inizio della progettazione del prodotto o del servizio o dell’offerta. E tale valutazione si deve basare su una documentazione.

Altro punto fermo importante è quello di garantire la sicurezza del prodotto o del servizio lungo tutta la sua vita. Quindi se ad esempio vi è stato il rischio di cyber attack, ci deve essere la possibilità di prevedere una distruzione dei dati conservati in un determinato dispositivo.

Contattaci subito per un preventivo

13 + 5 =

Consenso dell’interessato e trattamento lecito

Consenso dell’interessato e trattamento lecito

Consenso dell’interessato e trattamento lecito

Consenso come unica base giuridica che legittima il trattamento dei dati?

Nei precedenti articoli, abbiamo parlato di consenso e di informativa. Oggi affrontiamo il tema del consenso dell’interessato, ma solo in parte. Probabilmente molti di noi pensano che non dando il consenso non sia legittimo l’uso dei nostri dati. Ma è sempre vero questo? O meglio:

Il consenso è l’unica base giuridica che legittima il trattamento lecito dei dati personali?

Se non è così, in quali altri modi si configura un trattamento lecito di dati personali? La risposta la troviamo nel GDPR all’art. 6.

Art. 6 del GDPR  e principio di liceità

In base a questo articolo, il trattamento dei dati è lecito:

  1. quando è subordinato al consenso dato dall’interessato. In questo caso il titolare del trattamento deve documentare il consenso dell’interessato per dimostrare che sia un consenso informato, esplicito e consapevole;
  2. quando è necessario.

I casi nei quali il trattamento è necessario e quindi non è richiesto il consenso dell’interessato sono:

  • quando debbano essere perseguite finalità legittime. Se ad esempio si deve dare esecuzione ad un contratto. In questo caso è però richiesto che venga fornita la quantità minima di dati necessaria a svolgere il servizio;
  • quando il trattamento debba essere eseguito come obbligo di legge. Ad esempio, una banca che per legge debba profilarci per offrirci prodotti che siano in linea con il nostro profilo;
  • quando c’è un interesse pubblico;
  • quando il titolare del trattamento dei dati debba perseguire un suo legittimo interesse. Sempre ovviamente che i diritti e le libertà dell’interessato non prevalgano sul legittimo interesse del titolare. Un esempio è quello del datore di lavoro che deve trattare i dati dei suoi dipendenti per raggiungere meglio degli obiettivi di produttività.

Trattamento di dati personali non sensibili. Consenso si o consenso no?

Per finire, rispondiamo ad un’ultima domanda.

Ma se il trattamento dei dati non è necessario ma riguarda dati personali non sensibili, quindi di diritto comune, è necessario il consenso? A questa domanda c’è chi risponde di si e che di no. Il GDPR su questo punto purtroppo non si è espresso chiaramente.

 

Contattaci subito per un preventivo

4 + 14 =

Dati personali e GDPR

Dati personali e GDPR

I dati personali nel GDPR

Tipologie e caratteristiche dei dati

Tipologie di dati

Ogni dato per essere tale deve avere la capacità di descrivere un elemento. Ovviamente a questa definizione si riferiscono anche i dati personali. Ci sono varie tipologie di dati.

  1. Abbiamo i raw data sono quei dati non processati che possono anche essere definiti dati grezzi.
  2. I data set o linked data sono invece quelli che sono collegati fra loro e che possono essere letti solo in combinato tra loro. Un esempio di questa tipologia di dati fa riferimento al concetto di pseudonimizzazione. Questa è una misura tecnica che presuppone che due dati vengano letti assieme. Poi, oscurando uno dei due dati è concesso al titolare del trattamento di usare l’altro.
  3. real data sono quei dati che rappresentano un momento della storia che si è concluso oppure sono la descrizione di una realtà attuale. I cosiddetti real time data.
  4. Si parla poi anche di open data, ossia di dati liberamente accessibili e fruibili. Per contro abbiamo i dati proprietari. Questi possono essere utilizzati solo da chi ne detiene la proprietà o da chi ha avuto una concessione di licenza.

Caratteristiche dei dati

Ogni dato personale deve avere diverse caratteristiche per essere oggetto di applicazione delle disposizioni del GDPR:

  • Interoperabilità: ossia consentire a chiunque indipendentemente dal sistema operativo nel quale sta operando, di fruire di quel dato e di operarvi. Quindi di modificarlo, rimetterlo in rete ecc…
  • Accessibilità: è una caratteristica che fa riferimento ai formati non proprietari. Tutti i materiali sono accessibili al pubblico e vengono messi a disposizione attraverso l’impiego di standard aperti e formati non proprietari.
  • Conservazione a lungo termine: è la caratteristica dei dati personali di essere mantenuta dentro un archivio conservando le sue proprietà. Quelle cioè di chiarezza, completezza, integrità e univocità del dato.
  • Sicurezza: a tal proposito il GDPR prevede tre elementi che vanno a definire il concetto di sicurezza:
  1. confidentiality (riservatezza);
  2. integrity (integrità);
  3. availability (dato reso disponibile).

Il d.lgs 196/2003 prevede in più altre 3 caratteristiche afferenti al tema della                sicurezza:

  1. autenticità;
  2. non ripudiabilità: il dato deve cioè essere sempre veritiero. In questo modo l’interessato non è mai messo in condizione di poter ripudiare quel dato;
  3. completezza.

I dati personali come dati qualitativi

Queste caratteristiche che distinguono i dati, sono state standardizzate dall’organizzazione internazionale degli standard ISO.

Quindi, i dati personali che soddisfano i requisiti di interoperabilità, accessibilità, conservazione a lungo termine e sicurezza sono dati che qualitativamente rispettano le caratteristiche previste dal GDPR.

Contattaci subito per un preventivo

14 + 2 =

Call Now Button
Open chat