La privacy by default in pratica secondo il Garante spagnolo.

Andrea Antognini - Of Counsel

markus-spiske-iar-afB0QQw-unsplash.jpg

Il GDPR è un testo, salvo eccezioni, identico in tutta Europa ed il Garante spagnolo ha detto la sua sul principio generale di protezione dei dati by default, un concetto in astratto chiaro ma difficile da declinare in concreto:

il titolare del trattamento (l’azienda) deve trattare, per impostazione predefinita, solo i dati necessari per ogni specifica finalità di trattamento. Esattamente l’opposto di quando, nel form online, vedete che la casella per la ricezione della newsletter è “preflaggata”.

La guida del Garante spagnolo [https://www.aepd.es/sites/default/files/2020-10/guia-proteccion-datos-por-defecto.pdf] offre una visione pratica per aiutare ad applicare questo principio al trattamento dei dati in conformità con le disposizioni del GDPR e le linee guida adottate dal Comitato europeo per la protezione dei dati.

I destinatari del presente documento sono i titolari del trattamento dei dati, i DPO ma anche gli sviluppatori o i fornitori, nella misura in cui forniscono prodotti e servizi ai titolari del trattamento e cercano di garantire che questi siano conformi ai requisiti del GDPR.

Il concetto di privacy per default impone la necessità di segmentare l'utilizzo dell'insieme dei dati tra le diverse operazioni di trattamento e tra le diverse fasi del trattamento, in modo tale che non tutte le operazioni effettuate nell'ambito di un'operazione di trattamento siano effettuate su tutti i dati, ma solo su quelli necessari e nei momenti in cui è strettamente necessario.

Il trattamento dovrà essere minimamente intrusivo (quantità minima di dati personali, estensione minima del trattamento, periodo minimo di conservazione e accessibilità minima ai dati personali) e senza necessità di intervento del soggetto i cui dati sono trattati.

L'esecuzione di queste misure si concentra su strategie di ottimizzazione, configurabilità e limitazione.

L'obiettivo dell'ottimizzazione è quello di analizzare il trattamento dal punto di vista della protezione dei dati, il che significa applicare misure in relazione alla quantità di dati raccolti, all'estensione del trattamento, alla loro conservazione e alla loro accessibilità.

La seconda strategia è la configurazione di servizi, sistemi o applicazioni, che devono permettere di stabilire parametri o opzioni che determinano il modo in cui l'elaborazione deve essere effettuata, e che sono suscettibili di essere modificati dall’azienda e anche dall'utente.

Infine, la limitazione garantisce che, per default, il trattamento sia il più possibile rispettoso della privacy, in modo che le opzioni di configurazione siano adeguate, a quei parametri che limitano la quantità di dati raccolti, l'estensione del trattamento, la sua conservazione e la sua accessibilità.

Nella guida si trova anche un documento operativo e modificabile con le misure da adottare per l'attuazione delle strategie di protezione dei dati di default in lingua spagnola e comprende anche un capitolo sulla documentazione e la revisione contabile, necessarie per dimostrare la conformità alla norma.

Il principio di privacy by default non deriva dal risultato di un'analisi dei rischi per i diritti e le libertà, ma si tratta di misure e garanzie che devono essere stabilite ogni volta che vi sia un trattamento di dati personali.