Linee guida 4/2019 – Protezione dei dati fin dalla progettazione e per impostazione predefinita (Privacy by design / by default)


Versione 2.0
Adottato il 20 ottobre 2020 dopo consultazione pubblica

 

In un mondo sempre più digitale, aderenza ai requisiti di Data Protection by Design e by Default svolge un ruolo cruciale nella promozione della privacy e della protezione dei dati nella società.

È quindi essenziale che i titolari del trattamento prendano sul serio questa responsabilità e implementino gli obblighi del GDPR “sin dalla progettazione”.

Le presenti Linee guida forniscono indicazioni generali sull’obbligo di protezione dei dati fin dalla progettazione e per impostazione predefinita (di seguito “DPbDD”) di cui all’articolo 25 del GDPR. La DPbDD è un obbligo per tutti i titolari,

indipendentemente dalle dimensioni e dalla diversa complessità del trattamento.

Tale analisi andrebbe svolta non solo in fase preventiva ma dovrebbe essere un’attività continua, verificando periodicamente l’efficacia delle misure scelte salvaguardie. Inoltre, la DPbDD si applica anche ai trattamenti di dati personali pre-esistenti.

 

LO SCOPO

Le Linee guida si concentrano sull’attuazione da parte dei titolari delle attività di privacy by design e by default in base all’obbligo di cui all’articolo 25 del GDPR.

Altri attori, come i responsabili ex art. 28 e produttori di prodotti, servizi e applicazioni (d’ora in avanti “produttori”), che non sono direttamente indicati nell’articolo 25, possono comunque trovare in queste linee guida degli strumenti utili per la creazione di prodotti e servizi conformi al GDPR che consentano ai titolari del trattamento di soddisfare i propri obblighi di protezione.

Il capitolo 2 delle linee guida si concentra su un’interpretazione dei requisiti stabiliti dall’articolo 25 ed esplora gli obblighi legali introdotti dalla disposizione. Al capitolo 3, invece, vengono riportati alcuni esempi utili circa l’applicazione.

L’EDPB riconosce la sfida per le piccole e medie imprese circa il rispetto degli obblighi di DPbDD, e fornisce ulteriori raccomandazioni specifiche per le PMI nel capitolo 6.

Vediamo di seguito gli aspetti fondamentali:

 

ANALISI DELL’ARTICOLO 25 (1) E (2)

Lo scopo di questo capitolo è esplorare e fornire indicazioni sui requisiti per la protezione dei dati indicati nell’articolo 25.

La privacy by design 7 by default è un obbligo per tutti i titolari di trattamento, piccole imprese e le multinazionali allo stesso modo. Stando così le cose, la complessità dell’implementazione di DPbDD può variare in base alle caratteristiche del titolare, la sua attività e i trattamenti di dati effettuati. Indipendentemente dalle dimensioni, tuttavia, implementare un corretto processo di privacy by design / by default non può che avere effetti positivi per il titolare e per l’interessato.

 

Articolo 25 (1): protezione dei dati fin dalla progettazione

In linea con l’articolo 25, paragrafo 1, il titolare del trattamento attua adeguate misure tecniche e organizzative volte ad attuare i principi di protezione dei dati e ad integrare le garanzie necessarie nel trattamento al fine di soddisfare i requisiti e tutelare i diritti e libertà degli interessati.

Le misure tecniche e organizzative e le garanzie necessarie possono essere intese in senso lato come qualsiasi metodo o mezzo che un titolare del trattamento possa impiegare. Essere appropriati significa che le misure e le salvaguardie necessarie dovrebbero essere adeguate a raggiungere lo scopo previsto, quindi debbano essere efficaci in relazione ai principi di protezione dei dati. Il requisito di adeguatezza è quindi strettamente correlato al requisito di efficacia.

L’efficacia è al centro del concetto di protezione dei dati fin dalla progettazione.

Ciò determina che, come specificato nell’articolo 25, non sia richiesta l’attuazione di alcuna specifica misura organizzativa ma che che le misure e le salvaguardie scelte dovrebbero essere specifiche per l’attuazione dei principi di protezione dei dati nel particolare trattamento in questione.

L’efficacia dipenderà quindi dal contesto del trattamento e dalla valutazione di alcuni elementi che dovrebbero essere presi in considerazione come:

  • “stato dell’arte”

Nel contesto dell’articolo 25, il riferimento allo “stato dell’arte” impone un obbligo ai titolari del trattamento, nel determinare le misure tecniche e organizzative appropriate, tenendo conto degli attuali progressi nella tecnologia disponibile sul mercato.

Lo “stato dell’arte” è un concetto dinamico che non può essere definito staticamente in un punto fisso nel tempo, ma dovrebbe essere valutato continuamente nel contesto del progresso tecnologico. Un titolare potrebbe rilevare che una misura che una volta forniva un adeguato livello di protezione non lo fa più. Trascurare questo aspetto potrebbe tradursi quindi in una mancata osservanza dell’articolo 25.

  • “costo di implementazione”

L’elemento di costo non richiede che il titolare spenda una quantità sproporzionata di risorse quando esistono misure alternative, meno impegnative in termini di risorse, ma efficaci. Il costo di l’implementazione è un fattore da considerare ma non un motivo per la mancata applicazione di tali misure. 

  • “Natura, ambito, contesto e scopo del trattamento”

I titolari del trattamento devono prendere in considerazione la natura, l’ambito, il contesto e lo scopo del trattamento per la determinazione delle misure da attuare.

In breve, il concetto di natura può essere inteso come le 11 caratteristiche intrinseche del trattamento.

Lo scopo si riferisce alle dimensioni e alla gamma del trattamento. Il contesto si riferisce alle circostanze di  trattamento, che può influenzare le aspettative dell’interessato, fermo restando lo scopo e le finalità del trattamento.

  • “Rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”

Il GDPR adotta un approccio coerente basato sul rischio in molte delle sue disposizioni (per esempio negli articoli 24, 25, 32 e 35) al fine di individuare misure tecniche e organizzative adeguate a tutela delle persone, dei propri dati personali e conformi ai requisiti del GDPR.

Le risorse da proteggere sono sempre le stesse (le persone, tramite la tutela dei loro dati personali), a fronte degli stessi rischi (rischi per i diritti delle persone fisiche), tenendo conto delle stesse condizioni (natura, ambito, contesto e finalità).

Quando si esegue l’analisi dei rischi per la conformità con l’articolo 25, il titolare del trattamento deve identificare i rischi per i diritti degli interessati, la probabilità di accadimento e quale potrebbe essere la gravità di una minaccia al fine di attuare misure per mitigare efficacemente i rischi identificati.

L’approccio basato sul rischio non esclude l’uso di baseline, best practice e standard che possono essere strumenti utili ai titolari del trattamento per affrontare rischi simili in situazioni simili (natura, ambito, contesto e finalità del trattamento). È necessario però sottolineare che, sebbene si possa usare tali strumenti come aiuto, è necessario effettuare una valutazione del rischio per la protezione dei dati caso per caso in modo da verificare l’efficacia delle misure applicate.

  • Aspetti temporali – approccio preventivo

La protezione dei dati fin dalla progettazione deve essere implementata “al momento della determinazione dei mezzi per l’elaborazione “.

Per ” mezzi di elaborazione ” si intendono tutti gli elementi di progettazione, compresi l’architettura, le procedure, i protocolli, il layout e l’aspetto.

Il “tempo di determinazione dei mezzi per il trattamento” si riferisce al periodo di tempo in cui il titolare del trattamento decide come sarà condotto.

Condurre quest’analisi preventivamente è fondamentale per una corretta implementazione dei principi e della per garantire la protezione dei diritti degli interessati. Un approccio preventivo è inoltre utile dal punto di vista del rapporto costi-benefici, poiché potrebbe essere impegnativo e costoso apportare modifiche successive.

  • Aspetti temporali – approccio continuativo

Una volta avviato il trattamento, il titolare ha l’obbligo di monitorare l’efficace attuazione dei principi al fine di tutelare i diritti, rimanendo aggiornati sullo stato dell’arte, rivalutando il livello di rischio, ecc.

La natura, la portata e il contesto del trattamento, così come i rischi, possono cambiare nel corso del tempo, il che significa che il titolare del trattamento debba rivalutare le proprie scelte.

Tali indicazioni si applicano anche a quei trattamenti progettati prima dell’entrata in vigore del GDPR.

Tale obbligo si estende anche a qualsiasi trattamento effettuato a mezzo di responsabili del trattamento. Le operazioni effettuate dai responsabili dovrebbero essere regolarmente riviste e valutate dai responsabili del trattamento in modo da consentire al titolare del trattamento di adempiere ai propri obblighi.

 

Articolo 25 (2): protezione dei dati per impostazione predefinita

Per “default”, come comunemente definito in informatica, si intende un valore preesistente o preselezionato di un’impostazione configurabile assegnata a un’applicazione software.

Pertanto, per “impostazione predefinita” si intende che, in relazione al trattamento dei dati personali, il titolare dovrà identificare delle impostazioni di default da applicare relativamente alla quantità di dati personali raccolti, i periodi di conservazione, la loro accessibilità ecc…

Il titolare del trattamento dovrebbe quindi raccogliere i soli dati necessari per il raggiungimento delle finalità stability durante l’analisi di “privacy by design”. Allor stesso modo, non tratteranno i suddetti dati per altre finalità e non li conserveranno per tempi non congrui al raggiungimento delle finalità.

  • “quantità di dati personali raccolti”

I titolari del trattamento dovrebbero considerare il volume dei dati personali, i tipi, le categorie e il livello di dettaglio dei dati personali necessari per le finalità del trattamento. Le loro scelte di design dovrebbero tenener conto dei maggiori rischi per i principi di integrità e riservatezza.

  • “l’entità del trattamento”

Le operazioni eseguite sui dati personali devono essere limitate a quanto necessario.

  • “il periodo della loro conservazione”

I dati personali raccolti non saranno conservati se non necessari ai fini del trattamento, non vi è altro scopo compatibile o base giuridica ai sensi dell’articolo 6, paragrafo 4. Qualsiasi conservazione dovrebbe essere oggettivamente giustificabile se necessario dal titolare del trattamento in conformità con il principio di Accountability.

Se i dati personali non sono più necessari ai fini del trattamento, verranno cancellati o anonimizzati. Il periodo di conservazione dipenderà quindi dallo scopo (finalità) del trattamento.

  • “l’accessibilità”

Il titolare del trattamento dovrebbe limitare l’accesso ai dati in base di una valutazione della necessità (e che i soggetti che possano accedervi siano correttamente designati), ma anche assicurarsi che i dati personali siano effettivamente accessibili a chi ne ha bisogno quando necessario, ad esempio in situazioni critiche.

 

I PRINCIPI DI PROTEZIONE DEI DATI

Nel condurre un’analisi di “privacy by design / by default” devono essere presi in considerazione alcuni principi fondamentali per il trattamento dei dati, delineati nell’articolo 5 e nel considerando 39 del GDPR. Questi principi includono: trasparenza, liceità, correttezza, limitazione delle finalità, minimizzazione dei dati, accuratezza, limitazione della conservazione, integrità e riservatezza e responsabilità.

 

Trasparenza

Il responsabile del trattamento deve essere chiaro e disponibile nei confronti dell’interessato riguardo a come raccoglierà, utilizzerà e condividerà i suoi dati personali. La trasparenza consiste nel consentire agli interessati di comprendere e, se necessario, di esercitare facilmente i loro diritti (articoli da 15 a 22).

Il principio è incorporato negli articoli 12, 13, 14 e 34.

Alcuni elementi chiave riguardo il principio di trasparenza possono essere:

  • Chiarezza: le informazioni devono essere in un linguaggio chiaro e semplice, conciso e comprensibile;
  • Semantica – La comunicazione dovrebbe avere un significato chiaro e adatto al pubblico in questione;
  • Accessibilità – Le informazioni devono essere facilmente accessibili per l’interessato;
  • Contestuale – Le informazioni dovrebbero essere fornite al momento opportuno e nella forma appropriata;
  • Rilevanza: le informazioni dovrebbero essere pertinenti e applicabili allo specifico interessato;
  • Design universale: le informazioni devono essere accessibili a tutti gli interessati;
  • Comprensibile: gli interessati dovrebbero avere una buona comprensione di ciò che possono aspettarsi riguardo al trattamento dei dati personali, in particolare quando gli interessati sono bambini o altri gruppi vulnerabili.
  • Multicanale – Le informazioni dovrebbero essere fornite in diversi canali e media per aumentare la probabilità che le informazioni raggiungano effettivamente l’interessato.
  • Stratificazione – Le informazioni dovrebbero essere stratificate in modo da risolvere la tensione tra completezza e comprensione, tenendo conto della ragionevolezza delle aspettative degli interessati.

 

Legalità

Il titolare del trattamento deve individuare una valida base giuridica per il trattamento dei dati personali.

Alcuni elementi chiave riguardo il principio di trasparenza possono essere:

  • Rilevanza: Al trattamento sarà applicata la corretta base giuridica.
  • Differenziazione: La base giuridica utilizzata per ciascuna attività di trattamento deve essere differenziata.
  • Scopo specifico: La base giuridica deve essere chiaramente collegata alla specifica finalità.
  • Necessità: il trattamento deve essere necessario e incondizionato affinché lo scopo sia lecito.
  • Autonomia: all’interessato dovrebbe essere garantito il massimo grado di autonomia possibile rispetto al controllo sui propri dati personali nell’ambito della base giuridica identificata.
  • Acquisizione del consenso: il consenso deve essere prestato liberamente e dev’essere inoltre specifico, informato e inequivocabile. Occorre porre particolare attenzione alla capacità di bambini e giovani di fornire un consenso informato.
  • Revoca del consenso: Laddove il consenso è la base giuridica, il trattamento dovrebbe facilitare la revoca del consenso. La procedura per revocare il consenso dovrà essere semplice quanto quella per accordarlo.
  • Bilanciamento degli interessi: Laddove gli interessi legittimi siano la base giuridica, il responsabile del trattamento deve provvedere ad un bilanciamento ponderato degli interessi, prestando particolare attenzione ad eventuali squilibri, in particolare verso i minori di 18 anni e altri gruppi vulnerabili.
  • Predeterminazione: La base giuridica deve essere stabilita prima che abbia luogo il trattamento.
  • Cessazione: Se la base giuridica cessa di essere applicabile, il trattamento cesserà di conseguenza.
  • Adeguamento: Se c’è una valida modifica della base giuridica, il trattamento deve essere adeguato in base alla nuova base giuridica.
  • Attribuzione di responsabilità: Ogniqualvolta è prevista la contitolarità del trattamento, le parti devono ripartire in modo chiaro e trasparente le rispettive responsabilità rispetto ai dati oggetto.

 

Equità

Il principio di equità richiede che i dati personali non debbano essere trattati in alcun modo ingiustificatamente dannoso, illegittimamente discriminatorio, inaspettato o fuorviante per i soggetti interessati.

Alcuni elementi chiave riguardo il principio di equità possono essere:

  • Autonomia: agli interessati dovrebbe essere garantito il massimo grado di autonomia possibile nel determinare l’uso che viene fatto dei propri dati personali, nonché l’ambito e le condizioni di trattamento:
  • Interazione: Gli interessati devono essere in grado di comunicare ed esercitare i propri diritti.
  • Aspettative: Il trattamento dovrebbe corrispondere alle ragionevoli aspettative degli interessati.
  • Non discriminazione – Il responsabile del trattamento non deve discriminare ingiustamente gli interessati.
  • Non sfruttamento: il titolare del trattamento non dovrebbe sfruttare le esigenze o le vulnerabilità dei soggetti interessati.
  • Scelta del consumatore – Il titolare del trattamento non deve “bloccare” i propri utenti in modo ingiusto. Il “blocco del servizio” potrebbe non essere equo, se pregiudica la possibilità dell’interessato di esercitare il proprio diritto di portabilità dei dati ai sensi dell’articolo 20.
  • Bilanciamento del potere – Il bilanciamento del potere dovrebbe essere un obiettivo chiave del titolare nella relazione “trattamento-interessato”. Gli squilibri di potere dovrebbero essere evitati.
  • Nessun trasferimento del rischio – I titolari non dovrebbero trasferire i rischi dell’azienda ai dati soggetti.
  • Nessun inganno: le informazioni e le opzioni sul trattamento dei dati dovrebbero essere fornite in modo obiettivo e neutro, evitando qualsiasi linguaggio o design ingannevole o manipolativo.
  • Rispetto dei diritti – Il titolare del trattamento deve rispettare i diritti fondamentali degli interessati e non ledere tali diritti a meno che espressamente giustificato dalla legge.
  • Etico: il titolare del trattamento dovrebbe valutare l’impatto maggiore del trattamento sui diritti e sulla dignità delle persone.
  • Verità: il titolare deve rendere disponibili le informazioni su come trattano i dati e non indurre in errore gli interessati.
  • Intervento umano – Il controllore deve incorporare un intervento umano qualificato cioè in grado di scoprire eventuali pregiudizi che le macchine possono creare in base al diritto dell’interessato di non essere soggetto ad un processo automatizzato di cui all’articolo 22. 32
  • Algoritmi equi: valuta regolarmente se gli algoritmi funzionano in linea con gli scopi e adattare gli algoritmi per mitigare eventuali bias. Gli interessati dovrebbero essere informati sul funzionamento del trattamento dei dati personali basato su algoritmi che analizzano o fanno previsioni su di loro, come le prestazioni lavorative, situazione economica, salute, preferenze personali, affidabilità o comportamento, posizione o movimenti.

 

Limitazione dello scopo

Il titolare del trattamento deve raccogliere i dati per scopi specifici, espliciti e legittimi e non per ulteriori trattamenti di dati in modo incompatibile con le finalità per le quali sono stati raccolti.

Alcuni elementi chiave riguardo il principio di limitazione possono essere:

  • Predeterminazione: Gli scopi legittimi devono essere determinati prima della progettazione del in lavorazione.
  • Specificità: Le finalità devono essere specificate ed esplicite in merito al motivo per cui vengono forniti i dati personali.
  • Orientamento allo scopo: lo scopo del trattamento dovrebbe guidare la progettazione del trattamento e impostare i limiti di elaborazione.
  • Necessità – Lo scopo determina quali dati personali sono necessari per il trattamento.
  • Compatibilità: qualsiasi nuovo scopo deve essere compatibile con lo scopo originale per il quale i dati sono stati raccolti.
  • Limitare ulteriori elaborazioni: il titolare non deve eseguire ulteriori trattamenti per nuove finalità incompatibili.
  • Limitazioni al riutilizzo – Il titolare dovrebbe utilizzare misure tecniche, inclusi hashing e crittografia, per limitare la possibilità di riutilizzare i dati personali.
  • Revisione: il titolare del trattamento dovrebbe verificare regolarmente se il trattamento è necessario per gli scopi per i quali i dati sono stati raccolti.

 

Minimizzazione dei dati

Devono essere trattati solo i dati personali adeguati, pertinenti e limitati a quanto necessario al raggiungimento delle finalità.

La minimizzazione può anche riferirsi al grado di identificazione.

Alcuni elementi chiave riguardo il principio di limitazione possono essere:

  • Evitare il trattamento: evitare del tutto il trattamento dei dati personali quando ciò è possibile per fa finalità indicata.
  • Limitazione: limitare la quantità di dati personali raccolti a quanto necessario per lo scopo:
  • Limitazione dell’accesso: modellare il trattamento in modo che un numero minimo di persone abbia accesso ai dati personali per svolgere le proprie mansioni.
  • Rilevanza: i dati personali dovrebbero essere rilevanti per il trattamento in questione.
  • Necessità – Ogni categoria di dati personali è necessaria per gli scopi specificati e devono essere trattati solo se non è possibile adempiere allo scopo con altri mezzi.
  • Aggregazione: utilizza dati aggregati quando possibile.
  • Pseudonimizzazione: “pseudonimizza” i dati personali non appena non è più necessario avere dati personali direttamente identificabili e memorizza separatamente le chiavi di identificazione.
  • Anonimizzazione e cancellazione – Laddove i dati personali non siano più necessari per lo scopo identificato, i dati personali devono essere resi anonimi o cancellati.
  • Flusso di dati: il flusso di dati dovrebbe essere sufficientemente efficiente da non creare più copie del necessario.
  • “Stato dell’arte” – Il responsabile del trattamento dovrebbe applicare tecnologie aggiornate e appropriate per la minimizzazione dei dati.

 

Precisione

I dati personali devono essere accurati e aggiornati e deve essere intrapresa ogni ragionevole misura per garantire

che i dati personali inesatti, rispetto alle finalità per le quali sono trattati, siano cancellati o rettificati senza indugio.

Alcuni elementi chiave riguardo il principio di precisione possono essere:

  • Fonte dei dati: Le fonti dei dati personali dovrebbero essere affidabili in termini di accuratezza dei dati.
  • Grado di accuratezza: Ogni elemento relativo ai dati personali dovrebbe essere accurato quanto necessario per le finalità indicate.
  • “Misurabilmente” accurato: riduce il numero di falsi positivi / negativi, ad esempio in relazione ai pregiudizi derivanti da decisioni automatizzate e intelligenza artificiale.
  • Verifica: A seconda della natura dei dati, in relazione alla frequenza con cui possono cambiare, il titolare del trattamento dovrebbe verificare la correttezza dei dati personali con l’interessato prima e durante le fasi del trattamento.
  • Cancellazione / rettifica: Il titolare del trattamento deve cancellare o rettificare i dati inesatti senza indugio.
  • Prevenzione della propagazione degli errori: i titolari dovrebbero mitigare l’effetto di un errore accumulato nella catena di lavorazione.
  • Accesso: Gli interessati dovrebbero ricevere informazioni sui dati personali e un accesso effettivo in conformità con gli articoli da 12 a 15 del GDPR al fine di controllare l’accuratezza ed eventualmente rettificare le informazioni.
  • Accuratezza continua: i dati personali devono essere accurati in tutte le fasi del trattamento.
  • Aggiornato – I dati personali devono essere aggiornati se necessario allo scopo.
  • Progettazione dei dati: utilizzo di funzionalità di progettazione tecnologica e organizzative volte a ridurre l’inesattezza, ad esempio presentare scelte predeterminate concise invece di campi di testo libero.

 

Limitazione della conservazione

Il titolare del trattamento deve garantire che i dati personali siano conservati in una forma che consenta l’identificazione dei dati soggetti per un tempo non superiore a quello necessario alle finalità per le quali i dati personali sono trattati.

Alcuni elementi chiave riguardo il principio di precisione possono essere:

  • Cancellazione e anonimizzazione: Il titolare del trattamento dovrebbe disporre di procedure interne chiare e funzionalità per la cancellazione e / o l’anonimizzazione.
  • Efficacia dell’anonimizzazione / cancellazione: Il titolare del trattamento deve assicurarsi che non sia possibile identificare gli interessati tramite i dati resi anonimi o recuperare i dati cancellati.
  • Automazione: la cancellazione di alcuni dati personali dovrebbe essere automatizzata
  • Criteri di archiviazione: Il titolare del trattamento determina i dati e la durata della conservazione necessari allo scopo.
  • Giustificazione: Il titolare del trattamento deve essere in grado di giustificare il motivo per cui è necessario il periodo di conservazione definito.
  • Applicazione delle politiche di conservazione: il titolare del trattamento dovrebbe applicare le politiche di conservazione interne e condurre test per verificare se l’organizzazione pratica le suddette politiche.
  • Backup: i titolari determinano quali sono i dati personali e la durata della memorizzazione necessario per backup.
  • Flusso di dati: i titolari del trattamento devono prestare attenzione al flusso di dati personali e all’archiviazione di eventuali copie degli stessi, cercando di limitarne l’archiviazione “temporanea”.

 

Integrità e riservatezza

Il principio di integrità e riservatezza include la protezione contro la perdita, la distruzione o il danneggiamento accidentale dei dati personali raccolti.

È necessario quindi applicare misure di sicurezza atte a prevenire e gestire eventuali data breach.

Alcuni elementi chiave riguardo i principi di integrità e riservatezza possono essere:

  • Sistema di gestione della sicurezza delle informazioni (ISMS) – Disporre di mezzi operativi per la gestione politiche e procedure per la sicurezza delle informazioni.
  • Analisi dei rischi: valutare i rischi rispetto alla sicurezza dei dati personali considerando l’impatto sui diritti delle persone e contro i rischi individuati.
  • Security by design: Considerare i requisiti di sicurezza il prima possibile nella progettazione del sistema sviluppando, integrando e eseguendo continuamente test pertinenti.
  • Manutenzione: rivedere e testare regolarmente software, hardware, sistemi e servizi, ecc per scoprire eventuali vulnerabilità dei sistemi che supportano il trattamento.
  • Controllo accessi: Solo il personale autorizzato dovrebbe avere accesso ai dati personali necessari per i loro compiti. Il titolare dovrebbe distinguere i privilegi di accesso del personale autorizzato.
  • Trasferimenti sicuri – I trasferimenti devono essere protetti da accessi non autorizzati e accidentali.
  • Archiviazione sicura: l’archiviazione dei dati deve essere protetta da modifiche e accessi non autorizzati.
  • Pseudonimizzazione: i dati personali e i backup dovrebbero essere pseudonimizzati per ridurre al minimo i rischi di potenziali violazioni di dati, ad esempio utilizzando l’hashing o la crittografia.
  • Backup: conservare backup e registri nella misura necessaria per la sicurezza delle informazioni.
  • Disaster recovery/ business continuity: Applica procedure di disaster recovery e business continuity per ripristinare la disponibilità dei dati personali in seguito ad incidenti gravi.
  • Protezione in base al rischio: Tutte le categorie di dati personali dovrebbero essere protette con misure adeguate rispetto al rischio di violazione della sicurezza.
  • Gestione della risposta agli incidenti di sicurezza: disporre procedure e risorse per rilevare, contenere, gestire, segnalare e apprendere dalle violazioni dei dati.
  • Gestione degli incidenti: il titolare del trattamento deve disporre di processi per gestire le violazioni e gli incidenti, al fine di rendere più robusto il sistema di elaborazione.

 

Accountability

Il responsabile del trattamento deve essere in grado di dimostrare la conformità ai principi sopraccitati. In tal modo, il titolare del trattamento può dimostrare gli effetti delle misure adottate per proteggere i diritti degli interessati, e perché le misure sono ritenute adeguate ed efficaci.

 

LA CERTIFICAZIONE

Ai sensi dell’articolo 25, paragrafo 3, la certificazione ai sensi dell’articolo 42 può essere utilizzata come elemento per

dimostrare la conformità con i principi di Privacy by Design e by Deafult. Allo stesso modo, i documenti che dimostrano la conformità con i principi di Privacy by Design e by Default possono essere utile in un processo di certificazione.

Questo non solleva comunque il titolare dalla responsabilità di monitorare costantemente la conformità e il rispetto dei principi di protezione.

 

L’AUTORITA’ DI CONTROLLO

Le autorità di controllo possono valutare il rispetto dell’articolo 25 secondo le procedure elencate all’Articolo 58. I poteri correttivi sono specificati nell’articolo 58, paragrafo 2 e comprendono l’emissione di avvertimenti, richiami, ordini di rispettare i diritti degli interessati, limitazioni o divieto di trattamento, sanzioni amministrative, ecc.

 

RACCOMANDAZIONI PER I “PRODUTTORI” DI SOFTWARE E TECNOLOGIE

Sebbene non affrontati direttamente nell’articolo 25, anche i “produttori” dovrebbero prendere in considerazione i principi di protezione dei dati in base sopraccitati poiché i titolari del trattamento sono tenuti a trattare i dati personali soltanto con l’utilizzo di sistemi e tecnologie che garantiscano una protezione dei dati integrata.

 

RACCOMANDAZIONI PER LE PMI

L’articolo 25 non abbassa la soglia dei requisiti per le PMI. I seguenti punti possono facilitare la conformità delle PMI con l’articolo 25:

  • Effettua valutazioni del rischio tempestive, rima dell’inizio del trattamento;
  • Inizia con un “piccolo” trattamento, quindi ridimensionane la portata e la raffinatezza in un secondo momento;
  • Cerca “produttori” e affidati a servizi che garantiscano la conformità con i principi di privacy by design / by default. Verifica se questi posseggono eventuali certificazioni o applichino codici di condotta in materia;
  • Leggi la guida delle autorità di protezione dei dati e dell’EDPB
  • Aderisci ai codici di condotta ove disponibili

 

Il testo completo delle linee guida è disponibile per il download al link https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-42019-article-25-data-protection-design-and_en