Privacy by default

Privacy by default

Privacy by default e GDPR

Il precedente articolo si intitolava “Privacy by design e GDPR“. Adesso parleremo del tema previsto dall’art. 25, par. 2 del GDPR: la privacy by default.

Nell’articolo intitolato “Accountability, la novità più grande del GDPR“, abbiamo detto che privacy by default significa che proteggere i dati debba essere la regola predefinita. Infatti in italiano questa tipologia di privacy viene tradotta con: protezione dei dati per impostazione predefinita. Quindi, devono essere raccolti solo quei dati personali necessari per la specifica finalità. Ciò in conformità a quanto stabilito dal principio di minimizzazione

Raffronto tra privacy by design e privacy by default

Grazie alla privacy by design:

  1. si consente ai consumatori di avere una totale consapevolezza di come i loro dati siano tutelati;
  2. i consumatori possono facilmente gestire i propri dati.

Quindi, in quest’epoca di innovazione tecnologica, attuare bene la privacy by design permette alle aziende di avere un vantaggio competitivo rispetto ai propri competitor. Difatti, i consumatori si sentiranno maggiormente tutelati da una privacy by design attuata bene.

Grazie alla privacy by default:

Il titolare del trattamento deve adottare tutte quelle misure tecniche e organizzative che garantiscano che i dati siano trattati per impostazione predefinita. Ciò in modo che siano rispettati contemporaneamente e parallelamente i principi di necessità e di finalità del trattamento. Tutti i dati registrati in banche dati sono della natura e delle specie più diverse. Probabilmente tutti questi dati sono trattati, registrati e conservati per finalità diverse. Privacy by default significa che tutti questi dati dovranno essere trattati a seconda delle diverse finalità di trattamento, nel rispetto del principio di necessità. Anche qui, questo obbligo vale per una serie di elementi:

  • la quantità di dati raccolti;
  • la portata del trattamento;
  • il periodo di conservazione;
  • l’accessibilità.

Il GDPR stabilisce poi che: “per impostazione predefinita non possono essere resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento di una persona fisica”. Quindi in questo caso sono vietati gli automatismi.

Cosa accomuna il principio di privacy by design con il principio di privacy by default?

In comune queste due tipologie di privacy, hanno la possibilità di poter utilizzare le certificazioni previste dall’art. 42 del GDPR, come elemento per dimostrare di essere conformi ai requisiti previsti dal Regolamento. Tuttavia, la certificazione non riduce la responsabilità del titolare o del responsabile. Infatti rimangono in piedi i poteri di vigilanza dell’autorità di controllo, ossia del Garante.

Contattaci subito per un preventivo

6 + 3 =

Il titolare del trattamento nel GDPR

Il titolare del trattamento nel GDPR

Il titolare del trattamento nel GDPR

Chi è il titolare del trattamento dei dati personali?

Il titolare del trattamento è definito dal GDPR all’art. 4, par. 7:

la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali…

Quando titolare del trattamento è una persona giuridica

Dire che titolare del trattamento può essere anche una persona giuridica, pone un problema. Ossia: l’individuazione del soggetto che è preposto a prendere le decisioni e che dovrà assumersi le conseguenze di queste decisioni. A tal riguardo, il riferimento va alla figura del legale rappresentante.

Titolare e finalità del trattamento

Dalla definizione del GDPR vediamo che il titolare è colui che determina, oltre che i mezzi, anche le finalità del trattamento. A tal riguardo, è necessario che il titolare tratti dati che siano:

  • adeguati;
  • pertinenti;
  • limitati.

Ma adeguati, pertinenti e limitati a cosa? A quanto necessario rispetto alle finalità per le quali sono trattati. Ciò in linea col principio di accountability e col principio di minimizzazione dei dati.

Cosa significa principio di minimizzazione dei dati?

Significa evitare di usare quei dati dell’interessato che non sono assolutamente indispensabili rispetto al trattamento da effettuare. Quindi per rispettare questo principio, è necessario fare una valutazione a priori. Tale valutazione dovrà portare il titolare del trattamento a farsi una domanda. Cioè: rispetto al trattamento che devo fare, a che cosa mi serve questo dato? Quanto mi serve? Perché mi serve?

Titolare del trattamento e accountability

Tra questi due termini vi è una strettissima correlazione.Così come tra titolare e i principi di privacy by design e privacy by default. Tutti argomenti che abbiamo trattato in precedenti articoli:

  1. Accountability. La novità più grande del GDPR;
  2. Privacy by design e GDPR;
  3. Privacy by default.

Ma veniamo al legame tra titolare e accountability (principio di responsabilizzazione).

Il principio di accountability, attribuisce direttamente ai titolari del trattamento il compito di assicurare, ed essere in grado di comprovare, il rispetto dei principi applicabili al trattamento dei dati personali (art. 5, par. 1). Il rispetto di questo principio è verificabile da parte del titolare utilizzando la valutazione d’impatto sulla protezione dei dati personali di cui abbiamo parlato in due precedenti articoli:

Contattaci subito per un preventivo

15 + 1 =

Accountability. La novità più grande del GDPR

Accountability. La novità più grande del GDPR

Accountability. La novità più grande del GDPR

Cos’è l’accountability?

Accountability come nuovo modo di pensare dei titolari del trattamento

Il principio di responsabilizzazione (accountability) è un nuovo modo di pensare che deve essere adottato dai titolari del trattamento. Ma cosa significa questo? Significa inversione dell’onere della prova. Infatti, il titolare dovrà dimostrare di aver adottato tutte le misure tecniche e organizzative necessarie a rispettare il dettato del Regolamento. Accountability significa quindi che il titolare del trattamento dimostra di essere stato responsabile nel trattare i dati personali. Perciò, un titolare del trattamento che voglia svolgere bene il suo lavoro, dovrà sempre chiedersi se il suo operato rispetti i principi posti dall’art. 5 del GDPR. Anche nel Codice Privacy si parlava dell’inversione dell’onere della prova, ma non in questi termini.

Quali sono i compiti dei titolari del trattamento in base al principio di responsabilizzazione?

I due compiti fondamentali in base a questo principio sono:

  1. assicurare il rispetto dei principi applicabili al trattamento dei dati personali stabiliti all’art. 5 par. 1 del GDPR.
  2. Essere in grado di comprovare il rispetto di detti principi.

Come può fare il titolare del trattamento in concreto a rispettare il principio di accountability e non rischiare sanzioni?

Ogni titolare del trattamento farebbe bene ad adottare più strumenti possibili atti a dimostrare di aver seguito un percorso logico. È questo percorso che lo ha portato a compiere certe scelte, sia di natura tecnica che organizzativa. Il titolare deve quindi dimostrare di aver rispettato i principi a base dell’accountability lungo tutto questo tragitto.

Il legame tra accountability e i principi di privacy by design e privacy by default

Il principio di accountability si lega ai principi di privacy by design e privacy by default. Molto sinteticamente:

  • privacy by design: significa protezione dei dati fin dalla loro progettazione. Ossia il trattamento prima di metterlo in atto lo devo pensare e nel fare questo devo capire come proteggere i dati. Una misura che rappresenta questa tipologia di privacy è quella della pseudonimizzazione.
  • privacy by default: significa che la protezione dei dati deve essere la regola predefinita. Ciò implica che vengano raccolti solo quei dati personali necessari per la specifica finalità. In conformità a quanto stabilito dal principio di minimizzazione.

Questo è quanto ci dice l’art. 25 del GDPR ai commi 1 e 2.

Quali sono gli strumenti che dimostrano se il titolare del trattamento ha trattato i dati personali con responsabilità?

  • Il Registro del trattamento dei dati personali
  • La valutazione di impatto sulla protezione dei dati

 

Di entrambi questi temi ne parleremo in un prossimo articolo.

Contattaci subito per un preventivo

14 + 8 =

Principio di minimizzazione dei dati e GDPR

Principio di minimizzazione dei dati e GDPR

Principio di minimizzazione dei dati e GDPR

Principio di minimizzazione nel GDPR

Del principio di minimizzazione avevamo già fatto cenno in un precedente articolo. Oggi parleremo di questo principio più nel dettaglio. Innanzitutto: in quale articolo del GDPR troviamo la sua regolamentazione? Nell’art. 5, par. 1 lett. c).

A cosa si riferisce questa minimizzazione?

  1. alla minimizzazione dei dati soggetti al trattamento;
  2. alla limitazione delle finalità del trattamento.

Articolazione del principio di minimizzazione in più sotto-principi

Questo principio si contraddistingue dall’articolarsi in più sotto-principi:

  • Principio di adeguatezza: significa che i dati oggetto di trattamento devono costituire un set completo e sufficiente. Cioè i dati sono adeguati se si presentano in una quantità completa e sufficiente alle finalità che voglio raggiungere.
  • Principio di pertinenza: ossia i dati raccolti e trattati devono essere strettamente collegati alle finalità del trattamento.
  • Principio di limitazione dei dati: che potrebbe anche essere definito come principio di non eccedenza. Quindi, in base al principio di limitazione dei dati, la quantità di dati non deve essere eccedente rispetto agli scopi che con quei dati vogliamo raggiungere.
  • Principio di proporzionalità: si ricava dal rispetto dei principi di pertinenza e non eccedenza. Consiste nel trattare i dati in modo proporzionale ai dati stessi.
  • Principio di esattezza: significa che i dati devono essere esatti, nel senso che se non lo sono, devono poterci essere rettifiche per evitare ripercussioni sulle finalità.
  • Principio di limitazione della conservazione: ossia i dati personali devono essere conservati per il periodo di tempo minimo necessario al conseguimento delle finalità. Raggiunta questa finalità, se non è più necessaria la conservazione, i dati non devono essere più conservati, ma devono essere cancellati o resi anonimi. Purtroppo il GDPR si riferisce ad un “periodo” di tempo in modo generico. Il problema che origina da questa ambiguità nella definizione di “periodo minimo”, è che difficilmente l’interessato potrà contestare l’utilizzo dei suoi dati oltre questo periodo.

 

Contattaci subito per un preventivo

4 + 11 =

Call Now Button
Open chat