2022.03 slide privacy by design
•Download as PPTX, PDF•
0 likes•439 views
Cosa significa e come si applica la privacy by design e by default
Recommended
Recommended
More Related Content
What's hot
What's hot (20)
Similar to 2022.03 slide privacy by design
Similar to 2022.03 slide privacy by design (20)
More from STEFANELLI&STEFANELLI LAW FIRM
More from STEFANELLI&STEFANELLI LAW FIRM (20)
2022.03 slide privacy by design
- 1. www.studiolegalestefanelli.it PRIVACY BY DESIGN E BY DEFAULT Cosa significa e come si applica?
- 2. www.studiolegalestefanelli.it 2 Obbligo di protezione dei dati fin dalla progettazione del trattamento (data protection by design) Trattamento per impostazione predefinita solo dei dati personali necessari al perseguimento delle specifiche finalità per cui gli stessi sono raccolti e per il periodo strettamente necessario a tale fine (data protection by default). DEFINIZIONE
- 3. www.studiolegalestefanelli.it 3 Progettazione di SOFTWARE APPLICATIVI STRUMENTI che trattano dati Introduzione o modifica di PROCESSI AZIENDALI Progettazione di NUOVI TRATTAMENTI DI DATI Il principio di privacy by design trova applicazione ad esempio in relazione a: Esempio: introduzione di un nuovo software per la gestione dei dati dei dipendenti Esempio: ampliamento organizzativo con creazione di un nuovo dipartimento Esempio: progettazione di una campagna di marketing o creazione di un e- commerce QUANDO SI APPLICA QUESTO PRINCIPIO?
- 4. www.studiolegalestefanelli.it 4 Significa quindi che occorre prevenire e non correggere: il Titolare deve valutare e «disegnare» il trattamento di dati sin dalla fase della sua progettazione, in modo che il trattamento rispetti i principi privacy, definendo in via preventiva, a titolo esemplificativo: Quali dati saranno raccolti e di quali interessati Per quali finalità verranno trattati La base di legittimità di questo trattamento se tutti i dati raccolti sono necessari al raggiungimento della finalità Quali misure di sicurezza possono essere adottate per proteggere i dati Per quanto tempo saranno conservati Con quali modalità saranno cancellati COSA SIGNIFICA «by design»?
- 5. www.studiolegalestefanelli.it 5 QUALI PRINCIPI DEL GDPR DEVONO ESSERE INTEGRATI NEL TRATTAMENTO? LICEITÀ, CORRETTEZZA E TRASPARENZA LIMITAZIONE DELLA FINALITÀ MINIMIZZAZIONE DEI DATI LIMITAZIONE DELLA CONSERVAZIONE ESATTEZZA INTEGRITÀ E RISERVATEZZA I principi previsti dall’art. 5 GDPR sono:
- 6. www.studiolegalestefanelli.it 6 Che il trattamento di dati previsto dall’utilizzo del software/applicativo/strumento o svolto nell’ambito di un nuovo processo aziendale o un nuovo trattamento di dati dev’essere configurato in modo che: COSA SIGNIFICA «by default»? sia possibile raccogliere solo i dati già individuati come necessari siano di default adottate le misure di sicurezza individuate in fase di progettazione (ad esempio la pseudonimizzazione dei dati) al termine del trattamento i dati siano cancellati oppure resi anonimi per impostazione predefinita, mediante procedure sistematiche integrate nel trattamento. i dati personali siano realmente accessibili solo a chi ne ha bisogno
- 7. www.studiolegalestefanelli.it 7 COSA DICONO LE LINEE GUIDA DELL’EDPB 4/2019 SULLA PRIVACY BY DESIGN E BY DEFAULT «La privacy by design è un requisito anche per i trattamenti preesistenti all’entrata in vigore del GDPR: i titolari devono far sì che i trattamenti siano aggiornati in modo coerente con il Regolamento». Alcuni punti di interesse del documento «La protezione dei dati fin dalla progettazione deve essere attuata «al momento di determinare i mezzi del trattamento». I «mezzi del trattamento» comprendono l’architettura, le procedure, i protocolli, il layout e l’aspetto». «l’EDPB raccomanda ai titolari di richiedere che i produttori e i responsabili del trattamento dimostrino in che modo i loro hardware, software, servizi o sistemi consentano al titolare di soddisfare i requisiti in materia di privacy by design» «l’articolo 25 non prevede requisiti meno stringenti per le PMI» quindi tutti i titolari del trattamento, a prescindere dall’entità della propria organizzazione sono chiamati al rispetto di questo principio.
- 8. www.studiolegalestefanelli.it 8 UNA VOLTA AVVIATO IL TRATTAMENTO, POSSO CONSIDERARMI COMPLIANT AL GDPR? La privacy by design è un requisito che va rispettato anche «ALL’ATTO DEL TRATTAMENTO». NO Ciò significa che una volta avviato il trattamento, il titolare è tenuto ad assicurare la privacy by design e by default su base continuativa, ossia a dare attuazione efficace e costante ai principi privacy tenendosi aggiornato sullo stato dell’arte, riesaminando il livello di rischio, ecc. La natura, l’ambito di applicazione e il contesto delle operazioni di trattamento, nonché il rischio possono mutare nel corso del trattamento, comportando per il titolare l’obbligo di verificare tali operazioni per mezzo di valutazioni e riesami periodici dell’efficacia delle misure e garanzie che ha scelto.
- 9. www.studiolegalestefanelli.it 9 DEVO TENERE TRACCIA DELL’ANALISI DI PRIVACY BY DESIGN E BY DEFAULT SVOLTA? Per il principio di ACCOUNTABILITY SI Il titolare deve decidere autonomamente modalità, garanzie e limiti del trattamento dei dati personali nel rispetto della normativa deve essere in grado di dimostrare la compliance alla normativa e l’efficacia delle misure di sicurezza adottate. e
- 10. www.studiolegalestefanelli.it LE NOSTRE RISORSE settore privacy Studio legale Stefanelli&Stefanelli – privacy e GDPR Osservatorio Europe Privacy Osservatorio Sanzioni Privacy