Privacy by design e by default
L’articolo 25, in particolare, introduce il principio di privacy by design e privacy by default, in italiano: “la protezione dei dati fin dalla progettazione e protezione per impostazione predefinita“. Si tratta di un obbligo generale e prescrive: “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso” il Titolare del trattamento dei dati “mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”..
Potremmo definirlo come un nuovo concetto innovativo che impone alle aziende l’obbligo di avviare un progetto prevedendo, fin da subito i rischi che possono incontrare per la tutela dei dati personali, di conseguenza potranno scegliere di quali strumenti dotarsi.
Nell’ambito del Privacy by Design e by Default, dunque, il titolare del trattamento deve assicurarsi di mettere in atto “misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento“. In tal senso “tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. Ciò significa che tali “misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica“. In questo ambito, il testo prevede infine un meccanismo di certificazione che “può essere utilizzato come elemento per dimostrare la conformità ai requisiti” sopra citati.
L'introduzione di tali due principi obbliga, ovviamente, le imprese a predisporre una valutazione di impatto privacy ogni volta che avviano un progetto che prevede un trattamento di dati.
Viola la privacy il sito di e-commerce che ti obbliga a registrarti
News & Eventi,News GDPR Privacy,News Internet & Cyber Security
24 Aprile 2024
Se vi è capitato di essere costretti a registrarvi su una piattaforma di shopping online per fare anche un singolo acquisto, trovandovi poi a ricevere newsletter e offerte promozionali da quel sito, è bene sapere che..
Tutela delle e-mail dei dipendenti e conservazione dei metadati
News & Eventi,News GDPR Privacy
24 Aprile 2024
Nelle ultime settimane, fra consulenti, DPO e vari esperti di GDPR, si è parlato spesso del documento di indirizzo del Garante sulla conservazione dei metadati nella gestione delle e-mail dei dipendenti. Bene. Anzi..
Marketing e intelligenza artificiale, prepariamoci all’AI Act
News & Eventi,News GDPR Privacy
9 Aprile 2024
Spiegato semplice semplice, l'AI Act è un regolamento europeo che ha l’obiettivo di “regolamentare” l’uso dell’intelligenza artificiale. Ripeto: regolamento, non direttiva. Quindi? Quindi, perché diventi..
L’impatto dell’AI Act nel contesto lavorativo
News & Eventi,News GDPR Privacy
21 Marzo 2024
L’approvazione definitiva da parte del Parlamento Europeo del Regolamento sull’intelligenza artificiale (“AI Act”) rappresenta un passaggio istituzionale decisivo verso la predisposizione di un quadro normativo uniforme per lo sviluppo..
DPO e OdV, gemelli diversi nella complessa realtà aziendale
News & Eventi,News GDPR Privacy
19 Marzo 2024
Una collaborazione strutturata e sistematica tra DPO e OdV consente di raggiungere e mantenere un elevato livello di compliance e un potenziamento dell’attività di gestione dei diversi rischi inerenti ai processi..
Valutare l’adeguatezza delle politiche del titolare del trattamento
News & Eventi,News GDPR Privacy
13 Marzo 2024
I sistemi “231” e “privacy” presentano analogie tra i rispettivi schemi operativi di sorveglianza/vigilanza e nella governance dei processi di verifica e valutazione che possono essere oggetto di osmosi operativa..
Email inviate in chiaro, sanzionata società di dispositivi medici
News & Eventi,News GDPR Privacy
11 Marzo 2024
Il Garante privacy ha comminato due sanzioni per complessivi 300mila euro a una nota società che produce dispositivi medici per il monitoraggio, la prevenzione e il trattamento di diverse patologie..
Il DPO deve comunicare all’OdV un data breach?
News & Eventi,News GDPR Privacy
27 Febbraio 2024
In caso di data breach, il DPO deve assistere il titolare del trattamento nell’attuare la relativa procedura di gestione. Ma è tenuto a comunicare automaticamente all’OdV ogni violazione dei dati, o ci sono criteri specifici che devono guidare questa decisione?..