2. www.studiolegalestefanelli.it 2
Obbligo di protezione dei dati fin dalla progettazione del
trattamento (data protection by design)
Trattamento per impostazione predefinita solo dei dati
personali necessari al perseguimento delle specifiche finalità
per cui gli stessi sono raccolti e per il periodo strettamente
necessario a tale fine (data protection by default).
DEFINIZIONE
3. www.studiolegalestefanelli.it 3
Progettazione di
SOFTWARE
APPLICATIVI
STRUMENTI
che trattano dati
Introduzione o
modifica di
PROCESSI
AZIENDALI
Progettazione di
NUOVI
TRATTAMENTI
DI DATI
Il principio di privacy by design trova applicazione ad esempio in relazione a:
Esempio: introduzione di
un nuovo software per la
gestione dei dati dei
dipendenti
Esempio: ampliamento
organizzativo con
creazione di un nuovo
dipartimento
Esempio: progettazione di
una campagna di marketing
o creazione di un e-
commerce
QUANDO SI APPLICA QUESTO PRINCIPIO?
4. www.studiolegalestefanelli.it 4
Significa quindi che occorre prevenire e non correggere: il Titolare deve valutare e «disegnare» il trattamento di
dati sin dalla fase della sua progettazione, in modo che il trattamento rispetti i principi privacy, definendo in via
preventiva, a titolo esemplificativo:
Quali dati saranno raccolti e di quali interessati
Per quali finalità verranno trattati
La base di legittimità di questo trattamento
se tutti i dati raccolti sono necessari al raggiungimento della finalità
Quali misure di sicurezza possono essere adottate per proteggere i dati
Per quanto tempo saranno conservati
Con quali modalità saranno cancellati
COSA SIGNIFICA «by design»?
5. www.studiolegalestefanelli.it 5
QUALI PRINCIPI DEL GDPR DEVONO ESSERE INTEGRATI NEL
TRATTAMENTO?
LICEITÀ,
CORRETTEZZA E
TRASPARENZA
LIMITAZIONE DELLA
FINALITÀ
MINIMIZZAZIONE DEI
DATI
LIMITAZIONE DELLA
CONSERVAZIONE
ESATTEZZA INTEGRITÀ E
RISERVATEZZA
I principi previsti dall’art. 5 GDPR sono:
6. www.studiolegalestefanelli.it 6
Che il trattamento di dati previsto dall’utilizzo del software/applicativo/strumento o svolto
nell’ambito di un nuovo processo aziendale o un nuovo trattamento di dati dev’essere configurato
in modo che:
COSA SIGNIFICA «by default»?
sia possibile raccogliere solo i dati già individuati come necessari
siano di default adottate le misure di sicurezza individuate in fase di progettazione
(ad esempio la pseudonimizzazione dei dati)
al termine del trattamento i dati siano cancellati oppure resi anonimi per
impostazione predefinita, mediante procedure sistematiche integrate nel
trattamento.
i dati personali siano realmente accessibili solo a chi ne ha bisogno
7. www.studiolegalestefanelli.it 7
COSA DICONO LE LINEE GUIDA DELL’EDPB 4/2019 SULLA PRIVACY
BY DESIGN E BY DEFAULT
«La privacy by design è un requisito anche per i
trattamenti preesistenti all’entrata in vigore del
GDPR: i titolari devono far sì che i trattamenti
siano aggiornati in modo coerente con il
Regolamento».
Alcuni punti di interesse del documento
«La protezione dei dati fin dalla progettazione deve essere
attuata «al momento di determinare i mezzi del
trattamento». I «mezzi del trattamento» comprendono
l’architettura, le procedure, i protocolli, il layout e l’aspetto».
«l’EDPB raccomanda ai titolari di richiedere che i produttori
e i responsabili del trattamento dimostrino in che modo i loro
hardware, software, servizi o sistemi consentano al titolare
di soddisfare i requisiti in materia di privacy by design»
«l’articolo 25 non prevede requisiti meno stringenti
per le PMI» quindi tutti i titolari del trattamento, a
prescindere dall’entità della propria
organizzazione sono chiamati al rispetto di questo
principio.
8. www.studiolegalestefanelli.it 8
UNA VOLTA AVVIATO IL TRATTAMENTO, POSSO CONSIDERARMI
COMPLIANT AL GDPR?
La privacy by design è un requisito che va
rispettato anche
«ALL’ATTO DEL TRATTAMENTO».
NO
Ciò significa che una volta avviato il trattamento, il titolare è tenuto ad
assicurare la privacy by design e by default su base continuativa,
ossia a dare attuazione efficace e costante ai principi privacy
tenendosi aggiornato sullo stato dell’arte, riesaminando il livello di
rischio, ecc. La natura, l’ambito di applicazione e il contesto delle
operazioni di trattamento, nonché il rischio possono mutare nel corso
del trattamento, comportando per il titolare l’obbligo di verificare tali
operazioni per mezzo di valutazioni e riesami periodici dell’efficacia
delle misure e garanzie che ha scelto.
9. www.studiolegalestefanelli.it 9
DEVO TENERE TRACCIA DELL’ANALISI DI PRIVACY BY DESIGN E
BY DEFAULT SVOLTA?
Per il principio di
ACCOUNTABILITY
SI
Il titolare deve decidere
autonomamente modalità,
garanzie e limiti del trattamento
dei dati personali nel rispetto
della normativa
deve essere in grado di
dimostrare la compliance
alla normativa e l’efficacia
delle misure di sicurezza
adottate.
e