Il garante privacy spagnolo ha pubblicato una guida pratica volta a facilitare l’applicazione dei principi di privacy by design e by default al trattamento dei dati personali ai sensi dell’articolo 25 del GDPR.
L’8 ottobre 2020, il garante privacy spagnolo, Agencia Española de Protección de Datos (l’“AEPD”), ha pubblicato una guida volta a facilitare l’applicazione del principio della privacy by design e by default al trattamento dei dati personali.
La guida contiene indicazioni sulle misure tecniche e organizzative adeguate alla protezione dei dati e alla tutela dei diritti degli interessati, in conformità con le disposizioni del GDPR e delle Linee Guida 4/2019 sull’articolo 25 relativo al data protection by design and by default pubblicate dallo European Data Protection Board, l’EDPB.
L’AEPD ha sottolineato che il concetto di privacy by default si riferisce al fatto che il trattamento deve essere “minimamente intrusivo”, limitandosi ai dati necessari e sufficienti al perseguimento di una determinata finalità. Pertanto, indipendentemente dall’insieme dei dati raccolti dal titolare del trattamento, quest’ultimo deve “segmentare l’utilizzo dell’insieme dei dati tra le diverse operazioni di trattamento e tra le diverse fasi del trattamento”, così da garantire che non tutti i trattamenti effettuati in un determinato processo siano effettuati su tutti i dati, ma solo su quelli necessari e nei momenti in cui sia strettamente necessario.
Vengono inoltre affrontati aspetti pratici della privacy by design, al fine di dare concreta attuazione al principio della protezione dei dati per impostazione predefinita, basandosi su strategie di ottimizzazione, configurazione e limitazione del trattamento. In particolare, l’obiettivo dell’ottimizzazione è quello di “analizzare il trattamento dal punto di vista della protezione dei dati”, il quale comporta l’applicazione di misure che siano idonee in relazione alla quantità di dati raccolti, alla loro conservazione e alla loro accessibilità e all’estensione del trattamento effettuato. La seconda strategia è la configurazione di servizi, sistemi o applicazioni, i quali devono essere settati in modo tale da ricomprendere parametri o opzioni che determinano il modo in cui il trattamento deve essere effettuato, e che devono essere suscettibili di essere modificati sia dal titolare che dall’utente. Infine, la strategia della limitazione garantisce che, per impostazione predefinita, il trattamento sia il più possibile rispettoso della privacy, in modo che le opzioni di configurazione siano adeguate di default a quei valori che limitano la quantità di dati raccolti, il periodo di conservazione e l’accessibilità ai dati conservati.
La guida fornisce altresì una tabella contenente un elenco delle misure che il titolare del trattamento dovrebbe adottare per l’attuazione delle strategie di protezione dei dati per impostazione predefinita; l’AEPD dedica poi un capitolo alle attività di documentazione e di audit cui il titolare dovrebbe provvedere al fine di dimostrare la conformità alla normativa privacy, in ottica di accountability.
Nelle conclusioni, il garante privacy spagnolo evidenzia infine il carattere proattivo del principio della data protection by design e by default, in quanto la normativa applicabile consente diversi approcci e alternative nella sua attuazione, purché lo stesso trovi applicazione ogniqualvolta abbia luogo un’attività di trattamento dei dati personali, indipendentemente dalla loro natura. Infatti, le misure e garanzie di cui all’articolo 25 del GDPR “non deriva[no] dal risultato di un’analisi dei rischi per i diritti e le libertà, ma piuttosto sono misure e garanzie che devono essere stabilite in tutti i casi”.
Sul tema è possibile leggere l’articolo “Il garante privacy spagnolo sanziona un partito politico per l’invio di email senza consenso”.