Privacy by default: cosa significa privacy per impostazione predefinita
Mi capita spesso, sbagliando, di dare per scontato che un cliente comprenda senza remore il significato di termini che, però, non sono di uso comune per un’azienda. Uno di questi, per esempio, è “privacy by default”.
E’ uno dei principi fondamentali della normativa privacy e, in buona sostanza, significa che bisogna trattare, e quindi raccogliere, conservare e “usare”, solo i dati strettamente necessari per fare il lavoro, eseguire la prestazione, rendere il servizio, per i quali li abbiamo richiesti.
Il comitato europeo dei Garanti Privacy ha emanato qualche anno fa dettagliate Linee Guida al riguardo (4/2019).
Altri suggerimenti*, utili a valutare la “necessità” dei dati rispetto alle finalità del trattamento sono stati pubblicati dal Supervisor Europeo, l’EDPS, il “Garante” delle istituzioni europee, per fornire chiarimenti alle istituzioni; si tratta di indicazioni che, opportunamente contestualizzate, possono essere d’ausilio a chiunque.
I quattro passaggi suggeriti dall’infografica consistono nel:
👉 descrivere concretamente il trattamento nelle sue finalità e obiettivi, con indicazione degli specifici dati e categorie di interessati, oltre ai soggetti interni ed esterni che vi accederanno (in pratica, quello che dovrebbe essere contenuto nel Registro delle attività di trattamento);
👉 stabilire se l’attività di cui sopra possa costituire una limitazione dei diritti dei soggetti interessati;
👉 analizzare se l’obiettivo del trattamento dei dati sia chiaramente individuato e se il trattamento stesso sia effettivamente finalizzato al raggiungimento di quell’obiettivo e non anche ad altro;
👉 infine, esaminare la congruità dei dati raccolti rispetto agli obiettivi (ossia che siano elaborati solo i dati strettamente necessari); che essi non siano sovrabbondanti rispetto alle finalità (per esempio evitando di raccogliere o trattare dati come le preferenze o i gusti di un soggetto se l’obiettivo è quello di informare la possibile clientela sui propri prodotti) e, ancora, verificare che non vi sia la possibilità di ottenere gli scopi desiderati mediante trattamenti meno invasivi o particolareggiati.
Ancora una volta si torna alle regole base: dettagliare tipologia e flusso dei dati, determinare quali siano i dati strettamente necessari e pertinenti rispetto a quanto si andrà a “fare”, valutare se vi siano altri modi, meno invasivi, per ottenere gli obiettivi che ci siamo dati, adottare misure e accorgimenti adeguati a proteggere le informazioni.
Missione e proposito non facile, al giorno d’oggi, come sappiamo.
Però è importante sapere che le norme lo prevedono.
* Il link: https://edps.europa.eu/sites/default/files/publication/17-06-01_necessity_toolkit_final_en.pdf
#dataprotection #privacy #privacybydefault