GUARDA QUIhttps://accademiaitalianaprivacy.it/areaprivata/foto/1832/01.jpg
giovedì 29 febbraio 2024
di GDPRlab.it
Privacy by design e privacy by default sono due principi essenziali del GDPR. Ma cosa significano queste definizioni e che differenze ci sono?
Il GDPR prevede che titolare e responsabile del trattamento valutino attentamente il livello di rischio di ogni singolo trattamento di dati personali. Le misure di sicurezza poste a protezione dei dati devono quindi essere approntate tenendo di conto il singolo trattamento. I principi di privacy by design e privacy by default prevedono l'obbligo per le aziende di avviare un progetto tenendo di conto e prevedendo, fin da subito, i giusti strumenti e le corrette impostazioni a protezione dei dati personali.
Le linee Guida 4/2019 dell'EDPB regolano e ampliano ulteriormente la portata di questi due principi, profondamente e direttamente legati al principio di accountability.
Il pilastri del GDPR > Il principio di Accountability nel GDPR e i documenti utili
L'introduzione dei principi di Privacy by default e by design obbliga, tra le altre cose, le aziende ad una valutazione attenta dell'impatto che il trattamento può avere sui dati personali. Insomma le aziende devono svolgere preventivamente una valutazione di impatto privacy ogni volta che un trattamento dati comporta un rischio elevato per gli interessati oppure nei casi in cui il GDPR richiede esplicitamente il PIA.
Ricordiamo che l'uso di applicativi di terze parti comporta l'obbligo, in capo alle terze parti, di valutare i rischi dell'uso dell'applicativo, che, in teoria, dovrebbe essere sviluppato in conformità col GDPR.
Per saperne di più > Garante francese: guida al GDPR per sviluppo software
Il principio di Privacy by Design non nasce col GDPR. Risale al 2010 circa ed è stato poi adottato come principio cardine dalla 32° Conferenza Mondiale dei Garanti Privacy. I 7 principi che reggono il Privacy by Design sono:
Che cosa possiamo dedurre da questi punti? In un sistema tale di protezione dei dati, la tutela che il titolare del trattamento deve garantire si fa sostanziale e non solo formale. Titolare e responsabile devono essere PROATTIVI E PREVENTIVI, facendo valutazionio di rischio e predisponendo le necessarie misure tecniche ed organizzative necessarie a garantire i diritti dell'interessato e l'applicazione dei principi del GDPR.
Concretamente parlando, l'azienda che deve implementare il principio di Privacy By Design dovrà tenere di conto questi elementi:
Per approfondire > Valutazione d’impatto protezione dei dati (DPIA) e rischio del trattamento
Il principio di Privacy By Default, ovvero Privacy per impostazione predefinita, prevede che il titolare individui, PRIMA di iniziare il trattamento, quali dati personali sono assolutamente necessari rispetto alla finalità specifico del trattamento. Perché? Perché il titolare ha l'obbligo di tutelare al massimo possibile la riservatezza dei dati personali. Estensione immediata e diretta, nonchè pratica, della Privacy By Default è il principio di Minimizzazione del trattamento, per il quale è necessario considerare attentamente il tipo di trattamento, i dati necessari e le giustificazioni (per finalità e per base legale) al trattamento stesso.
Anche il periodo di conservazione dei dati, che deve limitarsi strettamente al periodo di tempo necessario rispetto alle finalità del trattamento, è un'estensione del principio di Privacy By Default.
Ancora: limitare l'accesso ai dati personali soltanto al personale che ha davvero necessità di accedere a quei dati per svolgere le proprie mansioni lavorative è, anch'esso, un aspetto di applicazione del principio di Privacy By Default.
L'EDPB ha individuato, nelle proprie linee guida, tre diverse strategie per applicare la Privacy By Default. Ovvero:
giovedì 19 dicembre 2024
Leggi tutto...giovedì 19 dicembre 2024
Leggi tutto...
CONDIVIDI QUESTA PAGINA!