Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

gdpr

Data protection by design e by default: ecco le linee guida EDPB

Ambiti di applicazione e aspetti principali delle Linee Guida n. 4/2019 concernenti l’obbligo di protezione dei dati fin dalla progettazione e la protezione dei dati per impostazione predefinita che il Comitato Europeo per la Protezione dei Dati ha posto in pubblica consultazione. Tutto quello che c’è da sapere

29 Nov 2019

Il Comitato Europeo per la Protezione dei Dati ha posto in pubblica consultazione le Linee Guida n. 4/2019 concernenti l’obbligo di protezione dei dati fin dalla progettazione e la protezione dei dati per impostazione predefinita (Data Protection by Design and by Default, d’ora in poi “DPbDD“), di cui all’art. 25 del GDPR.

La consultazione è stata avviata nel rispetto di quanto disposto dall’art. 70, paragrafo 1 lettera f) del Regolamento (UE) 679/2016 del 27 aprile 2016, relativo alla tutela delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati, dell’Allegato XI e del protocollo 37 dell’Accordo SEE, modificato dalla decisione del Comitato misto SEE n. 154/2018 del 6 luglio 2018, nonché dagli artt. 12 e 22 del suo Regolamento interno del 25 maggio 2018, modificato da ultimo il 12 novembre 2019.

Esaminiamo nel dettaglio le Linee Guida, che si configurano quale strumento utile per condurre i titolari del trattamento all’effettiva attuazione dei principi di protezione dei dati e dei diritti e delle libertà degli interessati, ponendo l’obbligo di avviare un progetto prevedendo, fin da subito, gli strumenti e le corrette impostazioni a tutela dei dati personali.

L’ambito di applicazione

Il GDPR impone ai titolari del trattamento (ovvero alle aziende, indipendentemente dalle loro dimensioni, comprese le piccole associazioni locali e le società multinazionali) l’adozione di misure tecniche ed organizzative adeguate, al fine di tutelare i dati da trattamenti illeciti.

L’art. 25 paragrafo 1, GDPR: Data Protection by Design

Il secondo capitolo delle Linee Guida è dedicato all’analisi del contenuto dell’art. 25, paragrafo 1 del GDPR, che disciplina la protezione dei dati fin dalla progettazione (Data Protection by Design) e dell’art. 25, paragrafo 2, GDPR, che concerne la protezione dei dati per impostazione predefinita. (Data Protection by Default).

Obbligo del titolare del trattamento di attuare misure tecniche e organizzative adeguate e le necessarie garanzie nel trattamento.

Il principio di Data Protection by Design richiede che la tutela dei diritti e delle libertà degli interessati, con riguardo al trattamento dei dati personali, comporti l‘attuazione da parte del titolare del trattamento di adeguate misure tecniche e organizzative al momento sia della progettazione che dell’esecuzione del trattamento stesso, onde garantire il rispetto delle disposizioni contenute nel GDPR.

Il termine “misure” può essere inteso in senso lato, intendendo qualsiasi metodo o mezzo che un titolare del trattamento può impiegare nel trattamento dei dati personali.

Tali misure devono essere adeguate, ovvero atte a raggiungere lo scopo previsto ed idonee ad attuare efficacemente la protezione dei dati personali, riducendo i rischi di violazione dei diritti e delle libertà degli interessati.

Per misura tecnica o organizzativa s’intende qualsiasi elemento, dall’uso di soluzioni tecniche avanzate alla formazione di base del personale, ad esempio su come gestire i dati dei clienti. Non è necessario che le misure adottate siano estremamente sofisticate, in quanto è sufficiente che tramite le stesse si attui efficacemente la protezione dei dati personali.

Un esempio di misura tecnica o organizzativa è la pseudonimizzazione dei dati personali, che viene utilizzata per attuare una serie di principi a protezione dei dati personali, quali l’integrità, la riservatezza e la minimizzazione dei dati.

Nell’adottare le misure tecniche e organizzative adeguate, i titolari del trattamento dei dati devono comprendere e rispettare i principi di cui all’art. 5 del GDPR e tutelare i diritti degli interessati, disciplinati dagli artt. 12 al 22 del GDPR.

Dunque, non è sufficiente implementare misure generiche esclusivamente per documentare la conformità DPbDD, ma ogni misura attuata dal titolare del trattamento deve avere un effetto reale.

Criteri da prendere in considerazione per determinare una specifica operazione di trattamento

L’art. 25 del GDPR elenca, inoltre, i criteri che il titolare del trattamento deve prendere in considerazione per determinare ed attuare le misure tecniche e organizzative.

Tali elementi sono identificati nel:

  • concetto di “stato dell’arte”, che può essere identificato come il livello tecnologico di un servizio o tecnologia o prodotto, che esiste sul mercato.

Nel contesto dell’art. 25, il concetto di “stato dell’arte” impone ai titolari del trattamento, nel determinare le misure tecniche e organizzative appropriate, di tenere conto degli attuali progressi della tecnologia disponibile sul mercato.

Ciò significa che i titolari del trattamento devono essere a conoscenza e rimanere aggiornati sui progressi tecnologici, ovvero su come la tecnologia può presentare dei rischi per la protezione dei dati e su come implementare le misure e le garanzie, che assicurano un’attuazione efficace dei principi e dei diritti degli interessati.

Il non tenersi aggiornati con i cambiamenti tecnologici potrebbe, quindi, comportare una mancata osservanza dell’art. 25 del GDPR.

  • “Costo di attuazione”, che non è inteso solo in termini di denaro o vantaggio economico, ma, in questo contesto, si riferisce alle risorse in generale, compresi il tempo e le risorse umane.

Il titolare del trattamento, quindi, deve tener conto del costo per l’attuazione delle misure e, pertanto, deve pianificare e spendere i costi necessari per l’efficace attuazione di tutti i principi sanciti nel GDPR.

L’incapacità di sostenere i costi non è un esimente per l’inosservanza del GDPR ed, allo stesso tempo, un’efficace attuazione dei principi non deve necessariamente comportare costi più elevati, in quanto investire di più nella tecnologia non comporta necessariamente un’attuazione più efficace dei principi.

  • “Natura, ambito, contesto e finalità del trattamento”. Sono fattori di cui i titolari del trattamento ne devo tener conto nel determinare le misure tecniche e organizzative appropriate, in modo da attuare efficacemente i principi che soddisfano gli obblighi del GDPR, al fine di proteggere i diritti degli interessati.
  • Rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche poste dal trattamento”

Al fine di identificare le misure tecniche e organizzative appropriate per proteggere le persone, i loro dati personali e soddisfare i requisiti del GDPR, le Linee Guida suggeriscono di adottare un approccio basato sul rischio, ai sensi di quanto disposto agli artt. 24, 25 e 32 del GDPR.[1]

Attraverso il rischio si determina la misura di responsabilità del titolare o del responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti.

L’obbligo di Data Protection by Design è basato, quindi, sulla valutazione del rischio, per cui le aziende dovranno valutare il rischio inerente alle loro attività.

Tale valutazione andrà fatta al momento della progettazione del sistema, quindi prima che il trattamento inizi.

Aspetto del tempo

La protezione dei dati fin dalla progettazione deve essere implementata sia al momento della determinazione dei mezzi di trattamento, sia durante l’esecuzione del trattamento stesso.

È al momento di determinare i mezzi di trattamento che i titolari del trattamento devono attuare misure e garanzie opportune per attuare efficacemente i principi di protezione dei dati.

Per garantire un’efficace protezione dei dati al momento del trattamento, il titolare del trattamento deve rivedere periodicamente l’efficacia delle misure e delle garanzie prescelte, in quanto durante l’esecuzione del trattamento la natura, la portata e il contesto delle operazioni di trattamento possono cambiare e, pertanto, il titolare del trattamento deve rivalutare le proprie operazioni di trattamento attraverso revisioni periodiche e valutazioni relative all’efficacia delle misure e delle garanzie prescelte per garantire il costante rispetto dei principi DPbDD.

Articolo 25, paragrafo 2, GDPR: Data Protection by Default

Il principio di Data Protection by Default o “protezione dei dati per impostazione predefinita” prevede che per impostazione predefinita le imprese dovrebbero trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini.[2]

Se non vi fossero impostazioni predefinite, gli interessati sarebbero sopraffatti dalle opzioni che potrebbero non essere in grado di comprendere. Pertanto, in molti casi, i titolari del trattamento devono decidere queste opzioni per conto degli interessati e, nel far ciò, devono garantire che siano abilitati solo i dati personali necessari per raggiungere lo scopo del trattamento e, dunque, devono fare affidamento sulla valutazione della necessità del trattamento in relazione ai motivi giuridici indicati dall’art. 6, paragrafo 1 del GDPR.

Per quanto riguarda le “misure tecniche e organizzative” da applicarsi nel contesto della protezione dei dati per impostazione predefinita, siffatte devono essere attuate facendo riferimento al principio della minimizzazione dei dati.

Tali misure applicate devono essere appropriate, ovvero devono essere adeguate, pertinenti e limitate per raggiungere lo scopo previsto.

Il titolare del trattamento, quindi, è tenuto a predeterminare per quali scopi specifici, espliciti e legittimi i dati personali vengono raccolti ed elaborati.

Al fine di valutare la necessità e la proporzionalità delle misure che limitano il diritto alla protezione dei dati gli orientamenti del Garante Europeo per la Protezione dei Dati possono essere utili, anche per decidere quali dati siano necessari da elaborare, al fine di raggiungere uno scopo specifico.[3]

Il suddetto obbligo di trattare solo i dati personali necessari per ciascuna finalità specifica, implica che venga trattata solo la quantità di dati personali necessaria per il trattamento.

L’impostazione predefinita, inoltre, implica che i titolari del trattamento non debbano raccogliere dati personali che non siano necessari per lo scopo di elaborazione specifico.

In altre parole, se determinate categorie di dati personali non sono necessarie, allora i dati personali in eccesso non devono essere raccolti.

Il trattamento delle operazioni eseguite su dati personali è limitato, quindi, a quanto necessario.

Per quanto riguarda il periodo della loro conservazione, se i dati personali non sono necessari dopo la prima elaborazione devono essere eliminati o resi anonimi.

Inoltre, qualsiasi conservazione di siffatti dati ad opera dei titolari del trattamento deve essere obiettivamente giustificabile e dimostrabile dai suddetti.

L’anonimizzazione dei dati personali è un’alternativa alla cancellazione, a condizione che siano presi in considerazione tutti gli elementi contestuali pertinenti e che la probabilità e la gravità del rischio, compreso il rischio di reidentificazione, siano regolarmente valutate.

Sia per la cancellazione che per il processo di anonimizzazione, il titolare del trattamento limita il periodo di conservazione a quanto strettamente necessario.

Questo obbligo è direttamente correlato al principio della limitazione della conservazione di cui all’articolo 5, paragrafo 1, lettera e) del GDPR, il quale implica che il titolare del trattamento debba disporre di procedure sistematiche per la cancellazione dei dati trattati.

Il titolare del trattamento, inoltre, deve limitare chi può avere accesso ai dati personali sulla base di una valutazione della necessità e anche assicurarsi che i dati personali siano effettivamente accessibili a coloro che ne hanno bisogno quando necessario.

L’art. 25, paragrafo 2 del GDPR stabilisce, inoltre, che i dati personali non devono essere resi accessibili, senza l’intervento dell’interessato, a un numero indefinito di persone fisiche. Il titolare del trattamento deve, quindi, limitare automaticamente l’accessibilità e consultare l’interessato prima di pubblicare o altrimenti rendere disponibili i dati personali dell’interessato a un numero indefinito di persone fisiche.

Questa disposizione si applica, indipendentemente dai motivi legali del trattamento e dalla legislazione nazionale sulla libertà di informazione.

A seconda dei motivi legali del trattamento, l’opportunità di intervenire potrebbe significare chiedere il consenso per rendere i dati personali accessibili al pubblico o fornire informazioni sull’accessibilità del pubblico, al fine di consentire agli interessati di esercitare i loro diritti agli artt. 15 a 22 del GDPR. Ad ogni modo, la portata dell’accessibilità pubblica dei dati personali dovrebbe essere resa trasparente all’interessato al momento dell’intervento.

Attuazione dei principi di protezione dei dati utilizzando la Data Protection by design e by default

In tutte le fasi della progettazione delle attività, quali ad esempio in caso di gare d’appalto, esternalizzazione, sviluppo, supporto, manutenzione, collaudo, conservazione, cancellazione, ecc., il titolare del trattamento deve tenere conto sia dei vari elementi della DPbDD, ma anche dei principi strettamente correlati ad esse, quali:

Trasparenza

Il titolare del trattamento deve essere chiaro con l’interessato fin dall’inizio del trattamento su come raccoglierà, utilizzerà e condividerà i dati personali dello stesso.

La trasparenza, infatti, consente agli interessati di comprendere e, se necessario, avvalersi dei loro diritti, disposti all’interno degli artt.15 a 22 del GDPR.

Siffatto principio trova fondamento negli artt. 12, 13, 14 e 34 del GDPR.

Il rispetto di questo principio implica:

  • Chiarezza: le informazioni devono essere in un linguaggio chiaro e semplice, conciso e comprensibile.
  • Semantica: la comunicazione deve avere un chiaro significato per il pubblico in questione.
  • Accessibilità: le informazioni devono essere facilmente accessibili per l’interessato.
  • Rilevanza: le informazioni devono essere pertinenti e applicabili all’interessato specifico.
  • Comprensibilità: le persone interessate devono avere una buona comprensione di ciò che possono aspettarsi dal trattamento dei loro dati personali, in particolare quando le persone interessate sono bambini o altri gruppi vulnerabili.
  • Multicanalità: le informazioni dovrebbero essere fornite in canali e media diversi, oltre a quelli testuali, per aumentare la probabilità che le informazioni raggiungano e siano comprese efficacemente dall’interessato.

Legittimità

In base a siffatto principio il titolare del trattamento identifica una base giuridica valida per il trattamento dei dati personali.

Le misure e le garanzie messe in atto dal titolare del trattamento devono far sì che l’intero ciclo di vita del trattamento sia in linea con i pertinenti motivi legali del trattamento.

Il rispetto di tale principio, infatti, implica:

  • la rilevanza, ovvero al trattamento deve essere applicata la base giuridica corretta;
  • la differenziazione, ovvero il titolare del trattamento deve distinguere tra la base giuridica utilizzata per ciascuna attività di elaborazione;
  • la finalità specificata, in quanto la base giuridica appropriata deve essere chiaramente connessa alla finalità specifica del trattamento;
  • necessarietà: l’elaborazione deve essere necessaria per essere lecita;
  • ritiro del consenso: il trattamento deve facilitare la revoca del consenso. Il ritiro è semplice come dare il consenso. In caso contrario, qualsiasi consenso dato non è valido;
  • bilanciamento degli interessi: il titolare del trattamento deve eseguire un bilanciamento oggettivo ponderato degli interessi. Esistono misure e garanzie per mitigare l’impatto negativo sugli interessati e il titolare del trattamento dovrebbe divulgare la propria valutazione del bilanciamento degli interessi;
  • predeterminazione: la base giuridica deve essere stabilita prima che il trattamento abbia luogo;
  • cessazione: se la base giuridica cessa di applicarsi, l’elaborazione cesserà di conseguenza;
  • adeguamento: se viene apportata una modifica valida della base giuridica per l’elaborazione, l’elaborazione effettiva deve essere adattata in base alla nuova base giuridica;
  • attribuzione di responsabilità: ogniqualvolta sia prevista la gestione congiunta del trattamento, le parti devono ripartire in modo chiaro e trasparente le rispettive responsabilità nei confronti dell’interessato.

Equità

L’equità è un principio generale che richiede che i dati personali non vengano trattati in modo dannoso, discriminatorio, imprevisto o fuorviante per l’interessato.

Siffatto principio implica:

  • Autonomia: agli interessati è concesso il massimo grado di autonomia possibile in relazione al controllo sui propri dati personali.
  • Interazione: gli interessati devono essere in grado di comunicare ed esercitare i propri diritti nei confronti del titolare del trattamento.
  • Aspettativa: il trattamento deve corrispondere alle aspettative degli interessati.
  • Non discriminazione e non sfruttamento: il titolare del trattamento non deve discriminare, né sfruttare le esigenze e le vulnerabilità delle persone interessate.
  • Rispetto dei diritti e delle libertà – Il titolare del trattamento deve rispettare i diritti e le libertà fondamentali degli interessati e attuare misure e garanzie adeguate per non violare tali diritti e libertà.
  • Etica: il titolare del trattamento dovrebbe vedere l’impatto più ampio del trattamento sui diritti e sulla dignità delle persone.
  • Verità: titolare del trattamento deve agire nel modo in cui dichiara di fare, fornire spiegazioni su ciò che fa e non indurre in errore gli interessati.

Limitazione delle finalità

In base a tale principio il titolare del trattamento deve raccogliere dati per scopi specifici, espliciti e legittimi, e non elaborarli ulteriormente in modo incompatibile con gli scopi per i quali sono stati raccolti.

Se vi è la necessità di un’ulteriore elaborazione, il titolare del trattamento deve prima assicurarsi che tale elaborazione abbia scopi compatibili con quelli originali e progettare tale elaborazione di conseguenza.

La compatibilità di un nuovo scopo deve essere valutata in base ai criteri di cui all’articolo 6, paragrafo 4 del GDPR.

Il rispetto di tale principio implica:

  • Predeterminazione: gli scopi legittimi devono essere determinati prima della progettazione del trattamento.
  • Specificità: Le finalità devono essere specifiche al trattamento e si deve chiarire esplicitamente il motivo per cui i dati personali vengono elaborati.
  • Necessità: lo scopo determina quali dati personali sono necessari per l’elaborazione.
  • Compatibilità: qualsiasi nuovo scopo deve essere compatibile con lo scopo originale per il quale sono stati raccolti i dati e guidare le modifiche rilevanti nella progettazione.
  • Revisione: il titolare del trattamento deve riesaminare periodicamente se il trattamento è necessario per gli scopi per i quali sono stati raccolti i dati e testare il progetto contro la limitazione delle finalità.
  • Limitazioni tecniche del riutilizzo: Il titolare del trattamento dovrebbe utilizzare misure tecniche, tra cui hash e crittografia, per limitare la possibilità di riutilizzare i dati personali.

Minimizzazione dei dati

Siffatto principio implica che debbano essere elaborati solo i dati personali adeguati, pertinenti e limitati a quanto necessario allo scopo.

Di conseguenza, il titolare del trattamento deve predeterminare le caratteristiche ed i parametri dei sistemi di elaborazione e quali funzioni di supporto sono consentiti.

La minimizzazione dei dati conferma e rende operativo il principio di necessità.

Nell’ulteriore trattamento, il titolare del trattamento dovrebbe periodicamente valutare se i dati personali trattati siano ancora adeguati, pertinenti e necessari o se i dati debbano essere cancellati o resi anonimi.

Tale principio implica:

  • l’evitare del tutto il trattamento dei dati personali quando ciò è possibile per lo scopo pertinente.
  • Rilevanza: i dati personali devono essere pertinenti al trattamento in questione e il titolare del trattamento deve essere in grado di dimostrare tale rilevanza.
  • Necessità: ogni elemento di dati personali deve essere necessario per gli scopi specificati e deve essere elaborato solo se non è possibile raggiungere lo scopo con altri mezzi.
  • Limitazione: limita la quantità di dati personali raccolti a ciò che è necessario allo scopo
  • Aggregazione: quando possibile, utilizzare i dati aggregati.
  • Pseudonimizzazione: pseudonimizzazione dei dati personali non appena non è più necessario disporre di dati personali identificabili direttamente e memorizzare le chiavi di identificazione separatamente.
  • Anonimizzazione ed eliminazione: se i dati personali non sono o non sono più necessari allo scopo, tali dati devono essere resi anonimi o cancellati.
  • “Stato dell’arte”: il titolare del trattamento dovrebbe applicare le tecnologie disponibili e adeguate per evitare e ridurre al minimo il trattamento dei dati.

Precisione

I dati personali devono essere precisi e aggiornati e devono essere prese tutte le misure ragionevoli per garantire che i dati personali che sono inesatti, tenendo conto delle finalità per le quali vengono elaborati, vengano cancellati o rettificati.

Dati personali imprecisi potrebbero costituire un rischio per i diritti e le libertà delle persone interessate, ad esempio quando conducono a una diagnosi errata o a un trattamento errato di un protocollo sanitario, oppure un’immagine errata di una persona può portare a decisioni prese su basi sbagliate manualmente, usando il processo decisionale automatizzato o attraverso l’intelligenza artificiale.

Limitazione dell’archiviazione

Il titolare del trattamento deve garantire che i dati personali siano conservati in una forma che consenta l’identificazione degli interessati per un periodo non superiore a quello necessario per le finalità per le quali i dati personali sono trattati. È fondamentale che il titolare del trattamento sappia esattamente quali dati personali elabora l’azienda e perché. Lo scopo del trattamento è il criterio decisivo per la durata della conservazione dei dati personali.

Le misure e le garanzie che attuano il principio della limitazione della conservazione integrano i diritti e le libertà degli interessati, in particolare il diritto alla cancellazione, il diritto di opposizione e di profilazione.

Sicurezza

Il principio di sicurezza include le note proprietà di sicurezza delle informazioni, ovvero la riservatezza, l’integrità e la disponibilità, che rafforzano la resilienza del trattamento dei dati.

Siffatto principio implica il porre in essere:

  • Un sistema di gestione della sicurezza delle informazioni (ISMS): disporre di un mezzo operativo per gestire le politiche e le procedure per la sicurezza delle informazioni. Per alcuni controller, ciò può essere possibile con l’aiuto di un ISMS.
  • Analisi dei rischi: valutare i rischi rispetto alla sicurezza dei dati personali e contrastare i rischi identificati.
  • Resilienza: l’elaborazione deve essere sufficientemente solida per resistere a cambiamenti, richieste normative, incidenti e attacchi informatici.
  • Gestione degli accessi: solo il personale autorizzato deve avere accesso ai dati necessari per le loro attività di elaborazione.
  • Trasferimenti sicuri: i trasferimenti devono essere protetti da accessi non autorizzati e modifiche
  • Archiviazione sicura: l’archiviazione dei dati deve essere protetta da accessi non autorizzati e modifiche
  • Backup / registri: mantenere backup e registri nella misura necessaria per la sicurezza delle informazioni, utilizzare audit trail e monitoraggio degli eventi come controllo di sicurezza di routine
  • Pseudonimizzazione: i dati personali e i backup / i registri devono essere pseudonimizzati come misura di sicurezza per ridurre al minimo i rischi di potenziali violazioni dei dati, ad esempio utilizzando l’hash o la crittografia;
  • Gestione della risposta agli incidenti di sicurezza: Predispone routine e procedure per rilevare, gestire, segnalare e apprendere dalle violazioni dei dati.
  • Manutenzione e sviluppo: software di revisione e test regolari per scoprire le vulnerabilità dei sistemi che supportano l’elaborazione.

Certificazioni

In ossequio a quanto disposto nell’art. 25, paragrafo 3, del GDPR la certificazione della protezione dei dati in base alla progettazione di cui all’art. 42 del GDPR può essere utilizzata come elemento per dimostrare la conformità con la DPbDD.

Ciò significa che laddove ad un titolare del trattamento sia stata assegnata una certificazione, le autorità di vigilanza ne terranno conto nella valutazione globale della conformità al GDPR. Tuttavia, le autorità di vigilanza devono comunque effettuare le proprie valutazioni indipendenti in merito alla conformità DPbDD in base ai criteri indicati nel capitolo secondo delle Linee Guida.

Gli elementi che contribuiscono a dimostrare la conformità all’art. 25, paragrafi 1 e 2 del GDPR, ai fini dell’ottenimento della certificazione di cui all’art. 42 del GDPR, sono i processi di progettazione, ovvero il processo di determinazione dei mezzi di trattamento, la governance e la conformità organizzativa al trattamento, la selezione di misure efficaci e garanzie nel contesto del trattamento.

Inoltre, i criteri di certificazione della protezione dei dati sono determinati dagli organismi di certificazione o dai proprietari dei sistemi di certificazione e, quindi, approvati dall’autorità di controllo competente o dal Comitato Europeo per la Protezione dei Dati in caso di sigillo europeo di protezione dei dati.

Esecuzione dell’art. 25 del GDPR e conseguenze.

Le autorità di vigilanza possono valutare la conformità con l’articolo 25 secondo le procedure indicate all’art. 58 del GDPR.

I poteri correttivi sono evidenziati all’art. 58, paragrafo 2 del GDPR e comprendono l’emissione di avvertenze, rimproveri, ordini di conformità ai diritti degli interessati, limitazioni o divieto di trattamento, multe amministrative, ecc.

Inoltre, ai sensi di quanto disposto all’art. 83, paragrafo 4 del GDPR, la DPbDD è identificata quale elemento nel determinare il livello delle sanzioni monetarie per le violazioni delle disposizioni del GDPR.

Conclusioni

Infine, il Comitato Europeo per la Protezione dei Dati, al fine di facilitare e migliorare l’adozione della DPbDD, conclude le predette Linee Guida, raccomandando:

  • ai responsabili del trattamento di assicurare la DPbDD sin dalle fasi iniziali della pianificazione di un’operazione di elaborazione, ed anche prima del momento della determinazione dei mezzi di elaborazione.
  • di provvedere alla certificazione dell’operazione di elaborazione. Tale certificazione, infatti, può fornire un valore aggiunto ad un titolare del trattamento quando sceglie tra diversi sistemi di elaborazione dai fornitori di tecnologia.
  • Un sigillo di certificazione può anche guidare gli interessati nella scelta tra diversi beni e servizi, come applicazioni, software, sistemi, Internet of Things, compresi dispositivi indossabili e impianti. Avere un sigillo DPbDD può, quindi, servire come vantaggio competitivo sia per i fornitori di tecnologia che per i titolari del trattamento e può persino migliorare la fiducia degli interessati nel trattamento dei loro dati personali.

In assenza di certificazione, i titolari del trattamento dovrebbero cercare di avere altre garanzie, affinché la tecnologia e i fornitori di servizi rispettino i requisiti di DPbDD.

Il Comitato Europeo per la Protezione dei Dati incoraggia, inoltre, i fornitori di tecnologia a cogliere l’opportunità di utilizzare DPbDD come vantaggio competitivo sul mercato e raccomanda ai titolari del trattamento di richiedere che i fornitori di tecnologie dimostrino la propria responsabilità in merito al modo in cui hanno rispettato DPbDD.

Infine, il Comitato Europeo per la Protezione dei Dati esorta i responsabili del trattamento all’equità nei confronti degli interessati ed alla trasparenza ai fini dell’attuazione efficace della DPbDD.

_________________________________________________________________

  1. La definizione di rischio è indicata all’interno dei Considerando 75 e 76 al GDPR.Considerando 75: “I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati”.

    Considerando 76: “La probabilità e la gravità del rischio per i diritti e le libertà dell’interessato dovrebbero essere determinate con riguardo alla natura, all’ambito di applicazione, al contesto e alle finalità del trattamento. Il rischio dovrebbe essere considerato in base a una valutazione oggettiva mediante cui si stabilisce se i trattamenti di dati comportano un rischio o un rischio elevato”.

  2. https://protezionedatipersonali.it/privacy-by-design-e-by-default.
  3. GEPD. “Linee guida per la valutazione della necessità e della proporzionalità delle misure che limitano il diritto alla protezione dei dati” del 25 febbraio 2019.edps.europa.eu/sites/edp/files/publication/19-02-25_proportionality_guidelines_en.pdf.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4