NEWS

La privacy by default nell’ottica del garante per la protezione dei dati personali spagnolo

L'autorità privacy spagnola – Agencia Española de Protección de Datos (AEPD) – ha pubblicato un’interessante Guida sul principio della protezione dei dati per impostazione predefinita, comunemente noto come (Privacy) Data-Protection-by-Default, Art. 26.2 GDPR. Tale Guida si presenta come un “percorso pratico” preordinato ad aiutare i titolari del trattamento ad essere conformi alle disposizioni del GDPR e delle Linee Guida del Comitato Europeo per la Protezione dei Dati .

 Il Gdpr ha introdotto la privacy by design e by default

Tuttavia i destinatari della Guida non sono solo i titolari del trattamento, bensì anche i responsabili della protezione dei dati (Data Protection Officer). Inoltre – seguendo un’interpretazione estensiva – l’autorità di Madrid si spinge ad estendere la guida anche ai responsabili del trattamento (es. sviluppatori o fornitori), nella misura in cui forniscono prodotti e servizi ai titolari del trattamento.

Per protezione dei dati per impostazione predefinita si intende che devono essere trattati i dati personali strettamente necessari e sufficienti per ciascuna delle finalità di trattamento.

Pertanto, indipendentemente dall'insieme dei dati raccolti dal titolare, quest'ultimo deve “segmentare” l'utilizzo dei dati tra le diverse operazioni di trattamento e tra le diverse fasi del trattamento, in modo tale che non tutte le operazioni effettuate nell'ambito di un trattamento siano effettuate su tutti i dati, ma solo su quelli necessari e nei momenti strettamente necessari.

L’Autorità privacy iberica rammenta che il GDPR richiede al titolare del trattamento di configurare il trattamento “by-Default” nel rispetto dei principi applicabili al trattamento dei dati personali (Art. 5 GDPR), puntando ad un trattamento “minimamente intrusivo” (utilizzo minimo di dati personali, trattamento dei dati “limitato”, periodo di conservazione dei dati limitato e accessibilità “minima” ai dati personali). Come affermato dal Comitato Europeo per la Protezione dei Dati nelle sue Guidelines 4/2019, l'esecuzione di queste misure si concentra sulle strategie di ottimizzazione, configurabilità e limitazione.

L'obiettivo dell'ottimizzazione è quello di analizzare il trattamento dal punto di vista della protezione dei dati, il che significa applicare misure in relazione alla quantità di dati raccolti, all'estensione del trattamento, alla loro conservazione e alla loro accessibilità.

data protection by design e by default

La seconda strategia è la configurazione di servizi, sistemi o applicazioni, che devono permettere di stabilire parametri o opzioni che determinano il modo in cui l'elaborazione deve essere effettuata, e che sono suscettibili di essere modificati dal titolare del trattamento e dall’interessato stesso. La limitazione invece garantisce che per impostazione predefinita il trattamento sia il più possibile rispettoso della protezione dei dati, in modo che le opzioni di configurazione siano adeguate “sin dal principio” a quei valori che limitano la quantità di dati raccolti, l'estensione del trattamento, la sua conservazione e la sua accessibilità.

Nella Guida è stato inoltre inserito un documento emendabile con le misure da adottare per l'attuazione delle strategie di protezione dei dati per impostazione predefinita. In particolare, si tratta di misure relative alla quantità di dati personali raccolti; al prolungamento della durata del trattamento; al periodo di conservazione o di accessibilità dei dati. La Guida comprende anche un capitolo sulla documentazione da tenere, necessaria al fine di dimostrare la conformità alla normativa (principio di responsabilizzazione o di accountability, Art. 5.2 GDPR).

Infine, l’autorità privacy di Madrid ricorda che il principio in esame è uno dei principi che si integra con il resto delle garanzie stabilite dal GDPR, con lo stesso GDPR che consente diversi approcci e alternative nell'attuazione di questo principio.

L'Agencia sottolinea che i titolari del trattamento dei dati, nonché i responsabili del trattamento devono sempre tenere conto del principio della protezione dei dati per impostazione predefinita nell’ambito delle loro attività. Un'altra importante conclusione è che questo principio deve essere applicato ogni qualvolta vengono trattati dati personali, indipendentemente dalla loro natura. L'istituzione di tale principio non deriva dal risultato di un'analisi dei rischi per i diritti e le libertà, ma piuttosto si configura come una misura da implementare in tutti i casi.

Note sull'Autore

Luigi  Mischitelli Luigi Mischitelli

Privacy & Data Protection Specialist at IRCCS Casa Sollievo della Sofferenza, Delegato Federprivacy nella provincia di Foggia

Prev Ancora confusione sul consenso come manifestazione di volontà riguardante uno specifico trattamento
Next Rilasciato il nuovo tool ‘Gdpr compliance check-list’ scaricabile gratuitamente sul sito di Inveo

App di incontri e rischi sulla privacy

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy