L’eliminazione di un trattamento di dati personali è una delle componenti del “ciclo di vita del trattamento”, spesso trascurata; essa si compone di due fasi: l’interruzione del trattamento vero e proprio, ovvero il Titolare non raccoglie più dati afferenti a quel trattamento; e l’eliminazione definitiva ed irreversibile dei dati che il Titolare conserva, afferenti a quel trattamento. In questo articolo, si presenta un esempio di estratto della procedura “Privacy by design” (principio previsto dall’art.25 del Gdpr) che riguarda l’interruzione e l’eliminazione del trattamento in un’organizzazione che dispone di un sistema di gestione della protezione dei dati ed in cui è presente la figura del DPO.
Il principio della privacy by design richiede che la tutela dei diritti e delle libertà degli interessati con riguardo al trattamento dei dati personali comporti l'attuazione di adeguate misure tecniche e organizzative al momento sia della progettazione che dell'esecuzione del trattamento stesso, onde garantire il rispetto delle disposizioni del Regolamento UE 2016/679.
Già alla lettura delle prime bozze del nuovo Regolamento Generale sulla Protezione dei Dati (GDPR), due questioni avevano da subito attratto la mia attenzione e fatto sorgere diverse criticità. La prima riguarda l’art.13, par. 2, a), “nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all'interessato la seguente informazione: il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo”.
Negli ultimi tempi la tecnologia ha fatto davvero passi da gigante ed ormai sta cambiando progressivamente il nostro modo di lavorare, di interagire e quindi di vivere nella nostra società grazie all’avvento di sofisticati dispositivi tecnologici che sfruttano le innumerevoli potenzialità che li contraddistinguono. Indubbiamente negli ultimi tempi il settore dei trasporti è tra i più interessati sul fronte dell’innovazione tecnologica, tant’è vero che si parla sempre di più di trasporto intelligente, obiettivo fondamentale anche dell’agenda digitale europea.
L’European Data Protection Board (EDPB), nell’ambito dei propri compiti e per promuovere l’applicazione coerente del Regolamento UE 679/2016, ha adottato in data 13 novembre 2019 un progetto di linee guida (4/2019), sottoposto a pubblica consultazione sino al 16 gennaio 2020. Successivamente, effettuate eventuali modifiche, le Linee Guida verranno definitamente adottate.
Siamo tutti abituati a sentir parlare di “architetti” in ambito edilizio o quando dobbiamo arredare o ristrutturare casa. È molto raro invece, e probamente siamo noi i primi a farlo, citare questa figura per abbinarla al mondo della protezione dati. E allora perché lo facciamo? Partiamo da questa idea: perché se dobbiamo arredare casa, secondo i canoni del design e del buon gusto, chiamiamo un architetto? Certamente perché vogliamo che il risultato sia armonioso, equilibrato, con un abbinamento di colori ottimale e con un effetto generale che faccia dire “wow” ai nostri ospiti. In sostanza ci rendiamo conto che da soli avremmo difficoltà ad ottenere tutto questo e quindi chiamiamo un esperto che ci supporti.
Un recente provvedimento prescrittivo e sanzionatorio dell’Autorità Garante della protezione dei dati personali in materia di marketing (provv. 15 Dicembre 2022 – doc. web n. 9856345) ripropone interessanti temi di data protection legati al rispetto del principio della Privacy by design e by default.
Una delle novità più rilevanti, ma al tempo stesso più sfuggenti ed ineffabili, del GDPR è l’introduzione del principio di privacy by design (PbD, o protezione dei dati sin dalla progettazione, secondo la traduzione italiana riportata in Gazzetta Ufficiale), di cui all’art. 25 del noto Regolamento Europeo n. 679/2016. Nell’ambito del complesso dibattito in materia di privacy, la PbD – la cui maternità è tecnicamente e storicamente attribuita ad Ann Cavoukian, studiosa e fino al 2014 Garante privacy dello Stato canadese dell’Ontario – ha fatto emergere posizioni contrastanti.
Mano pesante del Garante per la privacy greco che ha sanzionato per 400 mila euro la OTE per violazione dei princìpi di accuratezza e di “privacy by design”, nonchè del diritto di opposizione previsto dal Gdpr.
In data 10 Giugno 2021 [doc. web 9685922] l’Autorità Garante ha sanzionato un titolare del trattamento per aver implemento senza una valutazione di impatto privacy una piattaforma ai fini della gestione del whistleblowing in violazione dei principi della privacy by design e by default.
