Le nuove linee guida inerenti ai principi di privacy by design e privacy by default

GDPR per HR

A ottobre 2020 lo European Data Protection Board ha pubblicato le nuove linee guida inerenti ai principi di privacy by design e privacy by default. Tale necessità nasce dalla convinzione che la privacy e la tutela dei dati personali siano fondamentali e necessari soprattutto all’atto della definizione e dello sviluppo dei processi operativi.

Tali nuove linee guida si riferiscono in particolare all’interpretazione dell’art. 25 del GDPR e al principio fondamentale per cui lo sviluppatore deve comprendere a fondo i principi di tutela dei dati personali e i relativi diritti e libertà, sviluppando adeguati sistemi e misure di tutela necessari alla salvaguardia dei dati personali da un lato e alla libertà di sviluppo dall’altro.

Nelle nuove linee guida vengono ulteriormente elaborati i principi di privacy by design e by default, oltre a raccomandazioni a sviluppatori e produttori al fine del raggiungimento dei prefissati obiettivi di tutela, anche attraverso l’adozione di certificazioni ad hoc e codici di condotta.

I principi di data protection by design devono essere implementati nel momento in cui il titolare definisce i mezzi per il trattamento dei dati personali. Tale periodo si riferisce al momento in cui vengono stabiliti i mezzi, le modalità e i meccanismi che verranno utilizzati nello svolgimento del trattamento. E’ in questo momento che lo sviluppatore deve già dare atto a tutte quelle misure necessarie per l’effettiva implementazione della tutela della privacy by design, tenendo in considerazione fattori quali lo stato dell’arte, il costo delle implementazioni necessarie, la natura, lo scopo, il contesto, l’obiettivo e il rischio. Viene quindi sottolineato ulteriormente come in un contesto di analisi costi-benefici, l’imprenditore debba tenere immediatamente in considerazione l’obiettivo della privacy by design, in quanto potrebbe essere sicuramente molto più costoso intervenire a posteriori per sanare un processo già avviato.

Una volta che il procedimento è stato avviato, lo sviluppatore ha comunque l’onere di mantenere lo standard definito, tenendo in considerazione anche il livello di rischio che potrebbe mutare durante la fase della progettazione e obbligare l’imprenditore a valutare nuovamente le misure di sicurezza già attuate.
Nelle nuove linee guida viene specificato come tale obbligo di mantenimento/supervisione/adeguamento del sistema di privacy by design e by default sia obbligatorio anche con riferimento a sistemi preesistenti al GDPR, che devono quindi nel caso conformarsi alle nuove linee guida.

“By default” si riferisce, invece, alle scelte inerenti alla configurazione e alle opzioni di processamento previste in un sistema come un’applicazione software. Il titolare deve preventivamente definire le ragioni per cui i dati personali vengono raccolti e conservati. Ne deriva che by default, il titolare non può:

  • raccogliere più dati di quanti siano effettivamente necessari;
  • mantenere i dati per un periodo di tempo superiore al necessario;
  • trattare i dati per motivi che esulino da quanto preventivamente autorizzato dall’interessato.

Nel caso in cui un titolare del trattamento utilizzi software di terze parti, lo stesso ha l’onere di effettuare un preventivo risk assessment sul prodotto al fine di accertare la conformità dello stesso alle normative applicabili e agli obiettivi di tutela dei dati personali che si è dato l’impreditore. In linea generale, i processi operativi devono essere sviluppati al fine di trattare il minor numero di dati personali possibili per il raggiungimento del preventivato scopo, anche con riferimento alle autorizzazioni e agli accessi al software stesso.

In conclusione, le nuove linee guida definiscono come un efficace sistema di implementazione delle misure tecniche e organizzative nel contesto della privacy by default e by design si può riassumere in sintesi nell’individuazione di un sistema di dimensionamento e minimizzazione dei dati personali con riferimento allo specifico scopo.

Le nuove linee guida inerenti ai principi di privacy by design e privacy by default

GDPR per HR

A ottobre 2020 lo European Data Protection Board ha pubblicato le nuove linee guida inerenti ai principi di privacy by design e privacy by default. Tale necessità nasce dalla convinzione che la privacy e la tutela dei dati personali siano fondamentali e necessari soprattutto all’atto della definizione e dello sviluppo dei processi operativi.

Tali nuove linee guida si riferiscono in particolare all’interpretazione dell’art. 25 del GDPR e al principio fondamentale per cui lo sviluppatore deve comprendere a fondo i principi di tutela dei dati personali e i relativi diritti e libertà, sviluppando adeguati sistemi e misure di tutela necessari alla salvaguardia dei dati personali da un lato e alla libertà di sviluppo dall’altro.

Nelle nuove linee guida vengono ulteriormente elaborati i principi di privacy by design e by default, oltre a raccomandazioni a sviluppatori e produttori al fine del raggiungimento dei prefissati obiettivi di tutela, anche attraverso l’adozione di certificazioni ad hoc e codici di condotta.

I principi di data protection by design devono essere implementati nel momento in cui il titolare definisce i mezzi per il trattamento dei dati personali. Tale periodo si riferisce al momento in cui vengono stabiliti i mezzi, le modalità e i meccanismi che verranno utilizzati nello svolgimento del trattamento. E’ in questo momento che lo sviluppatore deve già dare atto a tutte quelle misure necessarie per l’effettiva implementazione della tutela della privacy by design, tenendo in considerazione fattori quali lo stato dell’arte, il costo delle implementazioni necessarie, la natura, lo scopo, il contesto, l’obiettivo e il rischio. Viene quindi sottolineato ulteriormente come in un contesto di analisi costi-benefici, l’imprenditore debba tenere immediatamente in considerazione l’obiettivo della privacy by design, in quanto potrebbe essere sicuramente molto più costoso intervenire a posteriori per sanare un processo già avviato.

Una volta che il procedimento è stato avviato, lo sviluppatore ha comunque l’onere di mantenere lo standard definito, tenendo in considerazione anche il livello di rischio che potrebbe mutare durante la fase della progettazione e obbligare l’imprenditore a valutare nuovamente le misure di sicurezza già attuate.
Nelle nuove linee guida viene specificato come tale obbligo di mantenimento/supervisione/adeguamento del sistema di privacy by design e by default sia obbligatorio anche con riferimento a sistemi preesistenti al GDPR, che devono quindi nel caso conformarsi alle nuove linee guida.

“By default” si riferisce, invece, alle scelte inerenti alla configurazione e alle opzioni di processamento previste in un sistema come un’applicazione software. Il titolare deve preventivamente definire le ragioni per cui i dati personali vengono raccolti e conservati. Ne deriva che by default, il titolare non può:

  • raccogliere più dati di quanti siano effettivamente necessari;
  • mantenere i dati per un periodo di tempo superiore al necessario;
  • trattare i dati per motivi che esulino da quanto preventivamente autorizzato dall’interessato.

Nel caso in cui un titolare del trattamento utilizzi software di terze parti, lo stesso ha l’onere di effettuare un preventivo risk assessment sul prodotto al fine di accertare la conformità dello stesso alle normative applicabili e agli obiettivi di tutela dei dati personali che si è dato l’impreditore. In linea generale, i processi operativi devono essere sviluppati al fine di trattare il minor numero di dati personali possibili per il raggiungimento del preventivato scopo, anche con riferimento alle autorizzazioni e agli accessi al software stesso.

In conclusione, le nuove linee guida definiscono come un efficace sistema di implementazione delle misure tecniche e organizzative nel contesto della privacy by default e by design si può riassumere in sintesi nell’individuazione di un sistema di dimensionamento e minimizzazione dei dati personali con riferimento allo specifico scopo.