La protezione dei dati personali by default e by design

lucchetto-sicurezza-privacy

Uno dei princìpi fondamentali su cui si basa la filosofia del Regolamento Generale sulla Protezione dei Dati Personali ( GDPR ), il n. 679/2016, è quello della « limitazione di trattamento ».

L’articolo 4 del GDPR definisce tale principio a partire dalla « identificazione dei dati personali conservati ».

A tale scopo, si possono indicare anche l’opportuna definizione della durata del « periodo di conservazione » dei dati e, altresì, la « pseudonimizzazione ».

Con quest’ultima definizione invece s’intende « il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente ».

Minimizzare i dati trattati, limitare loro accessibilità

L’articolo 25 del GDPR aggiunge, rispetto al passato, un nuovo principio a monte del trattamento e della stessa definizione dei « mezzi del trattamento ».

Si riferisce alla « protezione dei dati fin dalla progettazione e protezione per impostazione predefinita »; se preferiamo la terminologia inglese, stiamo parlando rispettivamente di privacy by design e di privacy by default.

Per « attuare in modo efficace i principi di protezione dei dati » – spiega l’articolo 25 – preliminarmente è necessaria « la minimizzazione » del trattamento dei “dati personali” a solo quelli effettivamente pertinenti e necessari allo svolgimento delle richieste finalità, e, secondariamente, la limitazione della « accessibilità » dei dati inteso sia per quantità di dati disponibili allo stesso soggetto che per minor numero di soggetti incaricati al trattamento o destinatari delle informazioni.

Per limitare l’accesso ai dati, occorre, prima di tutto che:

  • « non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica »;
  • quindi attivare un « controllo di accesso » ( password, log );
  • nonché evitare di « creare più copie del necessario » [1].

La valutazione dei rischi e l’adozione di misure di protezione dei dati personali

Gli elementi chiave della progettazione della protezione dei dati possono includere:

  • la valutazione dei rischi per la sicurezza dei dati personali ( furto, accesso indebito, distruzione accidentale, etc );
  • l’adozione di adeguate « misure tecniche e organizzative » di sicurezza, cioè misure procedurali, informatiche e fisiche, idonee a ridurre i punti deboli e le vulnerabilità del sistema di protezione dei dati ( formazione del personale, uso di software sicuro, archiviazione sicura e backup, password, armadi chiusi a chiave, etc ).

Tuttavia, sicuramente la migliore protezione dei dati è … l’assenza dei dati.

« Se i dati personali non sono non sono più necessari per lo scopo del trattamento, allora saranno automaticamente cancellati o resi anonimi » [1].

Tutto quanto sinora riportato è più valido quanto più lo sia « la probabilità e gravità » di un evento avverso e quanto questo possa oggettivamente incidere sull’interessato al trattamento dei dati personali ( ad esempio in riferimento al possibile furto o usurpazione d’identità, di perdite finanziarie, di pregiudizio alla reputazione ).

Al fine di assicurare successo all’attività di protezione dei dati, diventa fondamentale l’aggiornamento allo stato dell’arte delle tecnologie impiegabili, la periodica effettuazione di audit ( controlli ) e rivalutazione dei rischi.

Fonti e Note:

[1] EDPB, 20 ottobre 2020, [Download non trovato] (PDF, EN)

Potrebbero interessarti anche...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *