Giorni
Ore

Privacy by Design e by Default

Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita” definita anche Privacy by Design e by Default. Si tratta di uno dei principi sanciti e chiariti nel GDPR 2018, il “General Data Protection Regulation”, più comunemente definito nuovo Regolamento Europeo per la Protezione dei Dati Personali, fortemente voluto da tutti gli Stati Membri dell’Unione Europea, che dovranno recepire la direttiva e allinearsi entro il 25 maggio 2018. Numerose le novità introdotte dal testo, come il principio di “responsabilizzazione” o “accountability“, che diventerà centrale per aziende e pubbliche amministrazioni, e il “diritto all’oblio” ovvero il diritto alla cancellazione dei propri dati personali, anche e soprattutto online, da parte del titolare del trattamento, se ricorrono una serie di condizioni.

L’articolo 25 del GDPR 2018, poi, prevede il principio Privacy by Design e by Default, in italiano: “la protezione dei dati fin dalla progettazione e protezione per impostazione predefinita“. Si tratta di un obbligo generale e prescrive: “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso” il Titolare del trattamento dei dati “mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”.

Nell’ambito del Privacy by Design e by Default, dunque, il titolare del trattamento deve assicurarsi di mettere in atto “misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento“. In tal senso “tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. Ciò signidica che tali “misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica“. In questo ambito, il testo prevede infine un meccanismo di certificazione che “può essere utilizzato come elemento per dimostrare la conformità ai requisiti” sopra citati.