GDPR
GDPR: I principi fondamentali
Nel nuovo Regolamento europeo sulla privacy sono stati introdotti tre nuovi concetti stabiliti per il corretto trattamento dei dati personali.
Negli articoli precedenti hai appreso quali sono le caratteristiche del GDPR, quali tipi di aziende devono adeguarsi al Regolamento europeo, chi sono i soggetti che possono trattare i dati personali dei cittadini europei e che cos'è un dato personale.
In questo articolo parlerò dei principi fondamentali del GDPR.
I nuovi principi integrati sono:
- Privacy By Design
- Privacy by Default
- Accountability
Privacy by Design
La Privacy by Design dichiara che ogni progetto deve incorporare la protezione dei dati dalla fase di progettazione, nell'ottica di prevenire e non correggere la:
- Tutela dei dati personali incorporata nel progetto sin dalle sue prime fasi;
- Sicurezza durante tutto il ciclo del prodotto o servizio;
- Trasparenza;
- Centralità dell’utente;
- Tutela effettiva dell’interessato da un punto di vista sostanziale, non solo formale.
Il concetto di Privacy by Design è nato nel 2010 ed è stato adottato inizialmente negli USA e in Canada.
È un sistema che pone l’utente al centro in modo da ottenere una tutela sostanziale, ed è basato principalmente sulla valutazione del rischio con il quale si determina la misura di responsabilità del titolare o del responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti.
Le aziende dovranno valutare il rischio inerente alle loro attività e la valutazione andrà fatta al momento della progettazione del sistema, quindi prima che il trattamento inizi.
Privacy by Default
Il principio di Privacy by Default stabilisce che per impostazione predefinita le imprese dovrebbero trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini. Le aziende, quindi, devono progettare il sistema di trattamento di dati garantendo la non eccessività dei dati raccolti.
Accountability
Il principio di Accountability si riferisce alla responsabilità operativa del Titolare del Trattamento e del Responsabile.
Il soggetto in questione ha l’onere di porre in essere una serie di adempimenti, che rendano i principi posti dalla nuova disciplina dati verificabili nei fatti e non più soltanto obblighi giuridici esistenti sulla carta.
Inoltre, il Titolare del Trattamento debba mettere in atto adeguate misure tecniche ed organizzative, per garantire ed essere in grado di dimostrare che le operazioni di trattamento vengano effettuate in conformità alla nuova disciplina.
Con questi principi il GDPR dà al Titolare del Trattamento la libertà nel descrivere le modalità che utilizzerà per tutelare i dati ma, d’altro lato, ha l’obbligo di dimostrare le motivazioni che lo hanno portato ad utilizzare determinati metodi e deve documentare tutte le azioni compiute a riguardo.