Il Comitato europeo per la protezione dati (EDPB) ha adottato le linee guida finali sul tema della data protection by design e by default finalizzate a chiarire al mercato come progettare e impostare i trattamenti dei dati personali in aderenza ai dettami normativi.
Si è conclusa, dunque, la fase di consultazione pubblica delle nuove Linee guida relative alla protezione dei dati personali e particolarmente utili per progettare e impostare i trattamenti in modalità “privacy by design” e “by default” come previsto nell’art. 25 GDPR. Il documento non è ancora stato pubblicato.
Indice degli argomenti
Data protection by design e by default: le linee guida finali
Un nuovo intervento legislativo sull’adempimento di cui all’art. 25 GDPR si è reso necessario per garantire una sempre maggiore efficacia ai principi di protezione dei dati, dei diritti e delle libertà degli interessati sin dalla fase della loro progettazione. I titolari del trattamento devono essere in grado di dimostrare di disporre di misure tecniche e organizzative adeguate in modo efficace.
Incorporare tali misure fin dall’inizio della pianificazione di un progetto o servizio o della progettazione del prodotto durante la fase di lancio è più efficace e proattivo di un approccio retrospettivo. Ciò significa che le valutazioni sulla protezione dei dati devono essere “integrate” nelle pratiche commerciali e nei trattamenti sin dall’inizio.
Durante la consulta, EDBP si è concentrato sul tema dell’efficacia e della concreta attuazione dei principi normativi, specificando che i titolari del trattamento dei dati devono stabilire delle misure tecniche ed organizzative adeguate e devono fornire le dovute garanzie per un’effettiva tutela per la protezione dei dati “dei diritti e le libertà degli interessati”.
Le linee guida contengono quindi indicazioni su come attuare efficacemente i principi di protezione dei dati di cui all’articolo 5 GDPR, elencando elementi chiave di progettazione e di impostazione predefinita dei trattamenti, nonché riportando casi pratici a scopo illustrativo. Saranno fornite inoltre raccomandazioni precise su come titolari e responsabili del trattamento, ma anche i produttori, possono cooperare per ottenere l’applicazione dei principi in esame.
Secondo Maria Cristina Daga, Avvocato, Associate Partner di P4I, “Affrontare il tema della data protection by design e by default in modo pragmatico e con esempi concreti è molto importante perché aiuterà le aziende a consolidare meglio quanto fatto fino ad oggi e a spingersi, anche attraverso modalità innovative, per l’applicazione di tale adempimento”.
Le Linee guida spiegano anche come mettere in pratica più efficacemente i principi di protezione dati di cui all’art.5 GDPR mettendo in chiaro gli elementi utili alla progettazione fino alla loro applicazione. “Dare concretezza anche ai principi di cui all’art. 5 GDPR”, spiega ancora Maria Cristina Daga, “può aiutare inoltre a superare barriere interpretative legate, ad esempio, ai temi del consenso, della minimizzazione dei dati a partire dalla privacy by design, della legittimità di compiere finalità ulteriori”.
Un centro di controllo coordinato
Il Comitato europeo per la protezione dei dati ha poi disposto un quadro coordinato di applicazione, il CEF, per gestire sinergicamente, ogni anno, le attività delle autorità di vigilanza (AS) dell’EDPB.
“Tale superamento sarà reso possibile anche grazie all’istituzione del CEF”. L’EDPB con le Linee Guida istituisce il CEF, “una struttura per le attività di coordinamento annuale sulla base delle attività, anche di controllo, effettuate dalle Autorità di vigilanza dell’EDPB”.
In altre parole, il CEF – per garantire uniformità a livello europeo – dovrà facilitare le azioni congiunte in modo flessibile e coordinato, che vanno dalla sensibilizzazione alla raccolta di informazioni sul tema nonché all’analisi dei controlli effettuati e alle indagini congiunte.
“Molto interessante, ma vedremo in che modo verrà analizzato, è il richiamo alla direttiva in materia di diritto d’autore, in particolare all’utilizzo di contenuti protetti da parte di prestatori di servizi di condivisione di contenuti online” spiega l’avvocato Maria Cristina Daga.
“Quando tali contenuti avranno ad oggetto dati personali, sarà necessario rispettare il principio della necessarietà e minimizzazione del dato personale così come di ogni altro principio previsto dal GDPR, incluso l’art. 25 GDPR”.
L’auspicio è che le nuove linee guida dell’EDPB portino i chiarimenti necessari per affrontare le sfide del prossimo futuro sull’applicazione efficace dei principi richiamati.
