La privacy by default nell’ottica del Garante per la protezione dei dati personali spagnolo

MILANO - L'Agencia Española de Protección de Datos (AEPD) ha pubblicato una Guida sul principio della protezione dei dati per impostazione predefinita, comunemente noto come (Privacy) Data-Protection-by-Default, Art. 26.2 GDPR.

La Guida si presenta come un “percorso pratico” che ha l'obiettivo di aiutare i titolari del trattamento a essere conformi alle disposizioni del GDPR e delle Linee Guida del Comitato Europeo per la Protezione dei Dati. I destinatari del testo non sono solo i titolari del trattamento, ma anche i responsabili della protezione dei dati (Data Protection Officer). Seguendo un’interpretazione estensiva, l’autorità di Madrid si spinge ad estendere la guida anche ai responsabili del trattamento (sviluppatori o fornitori), nella misura in cui forniscono prodotti e servizi ai titolari del trattamento.

Per protezione dei dati per impostazione predefinita si intende che devono essere trattati i dati personali strettamente necessari e sufficienti per ciascuna delle finalità di trattamento.

Pertanto, indipendentemente dall'insieme dei dati raccolti dal titolare, quest'ultimo deve “segmentare” l'utilizzo dei dati tra le diverse operazioni di trattamento e tra le diverse fasi del trattamento, in modo tale che non tutte le operazioni effettuate nell'ambito di un trattamento siano effettuate su tutti i dati, ma solo su quelli necessari e nei momenti strettamente necessari.

Alcune precisazioni

L’Autorità privacy iberica rammenta che il GDPR richiede al titolare del trattamento di configurare il trattamento “by-Default” nel rispetto dei principi applicabili al trattamento dei dati personali (Art. 5 GDPR), puntando ad un trattamento “minimamente intrusivo” (utilizzo minimo di dati personali, trattamento dei dati “limitato”, periodo di conservazione dei dati limitato e accessibilità “minima” ai dati personali). Come affermato dal Comitato Europeo per la Protezione dei Dati nelle sue Guidelines 4/2019, l'esecuzione di queste misure si concentra sulle strategie di ottimizzazione, configurabilità e limitazione.

L'obiettivo dell'ottimizzazione è quello di analizzare il trattamento dal punto di vista della protezione dei dati, il che significa applicare misure in relazione alla quantità di dati raccolti, all'estensione del trattamento, alla loro conservazione e alla loro accessibilità.

La seconda strategia è la configurazione di servizi, sistemi o applicazioni, che devono permettere di stabilire parametri o opzioni che determinano il modo in cui l'elaborazione deve essere effettuata, e che sono suscettibili di essere modificati dal titolare del trattamento e dall’interessato stesso. La limitazione invece garantisce che per impostazione predefinita il trattamento sia il più possibile rispettoso della protezione dei dati, in modo che le opzioni di configurazione siano adeguate “sin dal principio” a quei valori che limitano la quantità di dati raccolti, l'estensione del trattamento, la sua conservazione e la sua accessibilità.

Nella Guida è stato inoltre inserito un documento emendabile con le misure da adottare per l'attuazione delle strategie di protezione dei dati per impostazione predefinita. Si tratta di misure relative alla quantità di dati personali raccolti; al prolungamento della durata del trattamento; al periodo di conservazione o di accessibilità dei dati. La Guida comprende anche un capitolo sulla documentazione da tenere, necessaria al fine di dimostrare la conformità alla normativa (principio di responsabilizzazione o di accountability, Art. 5.2 GDPR).

L’autorità privacy di Madrid ricorda infine che il principio in esame è uno dei principi che si integra con il resto delle garanzie stabilite dal GDPR, che consente diversi approcci e alternative nell'attuazione di questo principio. L'Agencia sottolinea che i titolari del trattamento dei dati, nonché i responsabili del trattamento, devono sempre tenere conto del principio della protezione dei dati per impostazione predefinita nell’ambito delle loro attività. Questo principio deve essere applicato ogni qualvolta vengono trattati dati personali, indipendentemente dalla loro natura. L'istituzione di tale principio non deriva dal risultato di un'analisi dei rischi per i diritti e le libertà, si configura piuttosto come una misura da implementare in tutti i casi.