BREVI NOTE SULLE LINEE GUIDA 4/2019 RELATIVE ALL’ART. 25 DEL GDPR

BREVI NOTE SULLE LINEE GUIDA 4/2019 RELATIVE ALL’ART. 25 DEL GDPR

In data 20 ottobre 2020 lo European Data Protection Board ha adottato le linee guida sull’art. 25 del GDPR.

Come noto, l’art. 25 prevede che il titolare del trattamento debba mettere in atto misure tecniche e organizzative adeguate al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati.

Questa adeguatezza si valuta tenendo conto di:

  1. stato dell’arte;
  2. costi di attuazione;
  3. natura, ambito di applicazione, contesto e finalità del trattamento;
  4. rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche in base al trattamento;
  5. aspetto temporale e operativo: sia al momento di determinare i mezzi del trattamento, sia all’atto del trattamento stesso.

Rispetto alle misure da assumere, lo stesso GDPR propone degli esempi, quali la pseudonimizzazione (dei dati) e la minimizzazione (del trattamento dati).

L’art. 25 del GDPR è direttamente connesso al Considerando n. 78, che esplicita l’obbligo di adottare misure tecniche e organizzative adeguate per garantire il rispetto del Regolamento al fine di tutelare i diritti e le libertà delle persone fisiche. Queste misure dovranno in particolare soddisfare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati per impostazione predefinita (by design and by default).

Il Considerando n. 78 e le linee guida sull’art. 25 del GDPR espressamente coinvolgono non soltanto i titolari o i responsabili del trattamento, ma si rivolgono anche ai creatori di prodotti, servizi e applicazioni, affinché questi – nelle fasi di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni – vogliano tenere conto delle esigenze di compliance al Regolamento che gravano su chi deve trattare i dati stessi, nell’ambizione di integrare le “misure a valle” con una “architettura a monte” che nasca il più possibile compatibile e predisposta, il tutto ovviamente a beneficio della tutela dei dati delle persone fisiche.

Da ultimo, il Considerando n. 78 espressamente ricorda che i principi della protezione dei dati by design and by default dovrebbero essere presi in considerazione anche nell’ambito degli appalti pubblici.

Parte centrale degli obblighi di cui all’art. 25 GDPR è costituita dall’aggiornamento continuo delle misure adeguate a soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati, in modo che la protezione nel tempo non perda di effettività ed efficacia.

La protezione dei dati in termini di design e di default consiste nell’applicazione pratica di questi due concetti complementari.

Nell’ambito della data protection by design:

il titolare del trattamento deve predisporre le misure tecniche e organizzative adeguate cui si è accennato sopra.

Queste misure possono consistere di ogni tecnica, metodo o accorgimento implementabile dal titolare dei dati nel corso del trattamento purché capaci di garantire la tutela dei dati con effettività ed efficacia (alcuni esempi: soluzioni tecniche avanzate, anche per la sicurezza, formazione del personale, pseudonimizzazione, sistemi di rilevamento dei malware, fornitura di informazioni sulla conservazione dei dati, possibilità per gli interessati di intervenire nel trattamento dei dati, obbligo contrattuale per i responsabili del trattamento di implementare specifiche misure).

L’effettività e l’efficacia delle misure sono il cuore della protezione by design, cosa che implica, come già detto, che queste caratteristiche siano mantenute nel tempo. Il Regolamento e le linee guida danno massima libertà di azione ai titolari del trattamento affinché trovino le soluzioni concretamente più adeguate alla propria attività e possano, quindi, anche migliorarle in un secondo momento, in caso di necessità. I titolari dovranno inoltre essere in grado di dimostrare la costanza dell’adeguatezza nel tempo. A tal fine, i titolari potrebbero prevedere appropriati key performance indicators (KPI, indicatori chiave di prestazione; valori misurabili per comprendere il tasso di effettività ed efficacia delle misure assunte man mano).

Per quanto attiene allo stato dell’arte, mentre nell’art. 32 del GDPR ci si riferisce specificamente alle misure di sicurezza, l’art. 25 estende questo concetto a tutte le misure tecniche ed organizzative coinvolte nel trattamento dati.

Come già detto, questo impone ai titolari di mantenersi al passo con i tempi della tecnologia e del mercato in materia di trattamenti dei dati personali, di cui possono costituire un indicatore codici di condotta, certificazioni, protocolli riconosciuti, ecc. Si richiedono quindi attenzione e dinamismo, non solo in termini di accorgimenti tecnici, ma anche per quanto riguarda le misure organizzative interne e le relative policy.

Venendo quindi ai costi di attuazione, si specifica che questi sono parametrati alle risorse in generale, quindi non solo in termini monetari, ma anche come impiego di tempo e risorse umane. Al contempo, viene espressamente detto che il costo dell’attuazione va interpretato nel senso di applicare comunque le misure, invece che di utilizzarlo come giustificazione per non attivarsi.

I titolari – nel mettere in atto le misure tecniche e organizzative – devono tenere conto di natura, ambito di applicazione, contesto e finalità del trattamento.

Per “natura” del trattamento si intendono le caratteristiche intrinseche dello stesso (categorie particolari di dati, decisioni automatiche ecc.).

Per “ambito di applicazione” si intendono l’area e il raggio del trattamento.

Per “contesto” si intendono le circostanze relative al trattamento, che potrebbero influenzare le aspettative degli interessati.

Per “finalità” si intendono gli obiettivi del trattamento.

Anche l’art. 25 del GDPR, come d’altronde gli artt. 24, 32 e 35, richiede un approccio – in questo caso alle misure tecniche e organizzative – che tenga conto dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche in base al trattamento.

In merito alla determinazione dei rischi, si vedano le disposizioni sulle DPIA e le relative linee guida. Anche in tal caso, si ricorda che potrebbe essere necessario effettuare una nuova DPIA ove si siano verificati cambiamenti negli aspetti legati al trattamento dati.

Per quanto concerne l’aspetto temporale e operativo, le linee guida insistono sulla opportunità di predeterminazione delle misure rispetto ai trattamenti e sulla necessità di aggiornamento periodico delle stesse, anche con riferimento alla vigilanza del titolare del trattamento rispetto alle misure concretamente adottate dal responsabile del trattamento.

Nell’ambito della data protection by default:

il titolare deve predisporre la procedura di trattamento dati più adeguata e confacente al GDPR rispetto ai casi concreti. Il tema investe infatti i passaggi del trattamento dei dati, la quantità trattata, la portata del trattamento, la sua estensione, il tempo di conservazione e di accessibilità dei dati.

Quindi, “di default” il titolare non dovrebbe raccogliere o trattare più dati personali del necessario, non dovrebbe conservarli per un tempo più lungo di quello strettamente necessario, dovrebbe trattarli per finalità specifiche, legittime e chiare, e questo dovrebbe avvenire secondo una procedura predeterminata.

Il titolare dovrebbe verificare i dispositivi ed i software di cui si avvale al fine di accertare che questi non confliggano con il trattamento dati e, in caso affermativo, dovrebbe escluderli dal trattamento.

Per quel che riguarda la quantità di dati personali, il titolare dovrebbe considerare tanto il volume, quanto il tipo, la categoria, il dettaglio dei dati da trattare, limitando il trattamento allo stretto necessario per la finalità specifica.

Rispetto invece alla conservazione, questa dovrebbe essere sempre giustificata e giustificabile: i dati non necessari al trattamento e non compatibili con qualsiasi altra base giuridica o finalità, non dovrebbero essere conservati. Al contempo, una volta venuta meno la necessità di conservare un dato, questo dovrebbe essere sistematicamente cancellato o anonimizzato.

Per quanto attiene alla accessibilità dei dati, questi dovrebbero essere raggiungibili solo nei casi strettamente necessari ai soggetti che ne abbiano effettiva necessità e non dovrebbero mai essere accessibili ad un numero indeterminato di soggetti senza uno specifico intervento in tal senso. Inoltre, i titolari dovrebbero sistematicamente dare possibilità agli interessati di intervenire prima della pubblicazione di dati personali su internet.

Per conseguire l’obiettivo di una efficace data protection by design and by default, i titolari – partendo dal principio base della responsabilità (accountability) – devono applicare i seguenti otto principi:

  1. transparency (trasparenza)
  2. lawfulness (liceità)
  3. fairness (correttezza)
  4. purpose limitation (limitazione delle finalità)
  5. data minimization (minimizzazione dei dati)
  6. accuracy (esattezza)
  7. storage limitation (limitazione della conservazione)
  8. integrity and confidentiality (integrità e riservatezza)

1. Transparency (trasparenza)

Tale principio è espressione degli artt. 12, 13, 14 e 34 del GDPR ed è richiamato in numerosi Considerando.

Il titolare del trattamento deve essere chiaro e aperto nei confronti dell’interessato per quanto concerne raccolta, trattamento, condivisione (ecc.) dei dati affinché l’interessato stesso sia messo in condizione di comprendere ed eventualmente esercitare i propri diritti di cui agli artt. da 15 a 22 del GDPR.

Le parole chiave indicate (e meramente indicative) nelle linee guida per il presente principio sono nove:

  • Clarity – Information shall be in clear and plain language, concise and intelligible (chiarezza – le informazioni devono essere espresse in modo chiaro e semplice, breve e comprensibile);
  • Semantics – Communication should have a clear meaning to the audience in question (semantica – le comunicazioni dovrebbero avere un significato preciso/non ambiguo per i destinatari);
  • Accessibility – Information shall be easily accessible for the data subject (accessibilità – le informazioni devono essere facilmente accessibili dall’interessato);
  • Contextual – Information should be provided at the relevant time and in the appropriate form (contestualità – le informazioni dovrebbero essere fornite al momento giusto e nel modo appropriato);
  • Relevance – Information should be relevant and applicable to the specific data subject (pertinenza – le informazioni dovrebbero essere pertinenti ed applicabili al singolo interessato);
  • Universal design – Information shall be accessible to all data subjects, include use of machine readable languages to facilitate and automate readability and clarity (design universale – le informazioni devono essere accessibili a tutti gli interessati ed includere dati leggibili a macchina per facilitare ed automatizzare la leggibilità e la chiarezza);
  • Comprehensible – Data subjects should have a fair understanding of what they can expect with regards to the processing of their personal data, particularly when the data subjects are children or other vulnerable groups (comprensibilità – gli interessati dovrebbero comprendere chiaramente cosa accadrà ai loro dati, specialmente in caso di minori o altri gruppi vulnerabili);
  • Multi-channel – Information should be provided in different channels and media, not only the textual, to increase the probability for the information to effectively reach the data subject (approccio multi-canale – le informazioni dovrebbero essere offerte tramite plurime modalità, non solo testuali, per aumentare la probabilità che queste effettivamente raggiungano gli interessati);
  • Layered – The information should be layered in a manner that resolves the tension between completeness and understanding, while accounting for data subjects’ reasonable expectations (approccio multi-livello – le informazioni dovrebbero essere offerte su più livelli, così da bilanciare completezza e comprensibilità, tenendo conto del legittimo affidamento degli interessati).

2. Lawfulness (liceità)

Il titolare deve individuare una legittima base giuridica per trattare i dati personali.

Le parole chiave indicate (e meramente indicative) nelle linee guida per il presente principio sono dodici:

  • Relevance – The correct legal basis shall be applied to the processing (pertinenza – il trattamento deve avvenire sulla base giuridica corretta);
  • Differentiation – The legal basis used for each processing activity shall be differentiated (differenziazione – ogni trattamento deve essere sorretto dalla pertinente base giuridica);
  • Specified purpose – The appropriate legal basis must be clearly connected to the specific purpose of processing (finalità specifica – la base giuridica pertinente deve essere chiaramente correlata alla relativa finalità del trattamento);
  • Necessity – Processing must be necessary and unconditional for the purpose to be lawful (necessità – il trattamento deve essere necessario e incondizionato per conseguire la specifica finalità affinché possa definirsi lecito);
  • Autonomy – The data subject should be granted the highest degree of autonomy as possible with respect to control over personal data within the frames of the legal basis (autonomia – all’interessato dovrebbe essere garantita la più ampia autonomia di controllo sui dati personali compatibilmente con la base giuridica in uso);
  • Gaining consent – consent must be freely given, specific, informed and unambiguous. Particular consideration should be given to the capacity of children and young people to provide informed consent (raccolta del consenso – il consenso deve essere libero, specifico, informato e preciso, con particolare attenzione alla capacità di minori e giovani di formulare un consenso effettivamente informato);
  • Consent withdrawal – Where consent is the legal basis, the processing should facilitate withdrawal of consent. Withdrawal shall be as easy as giving consent. If not, then the consent mechanism of the controller does not comply with the GDPR (revoca del consenso – se la base giuridica è il consenso, il trattamento dovrebbe facilitare la revoca dello stesso. Revocare il consenso deve essere facile come darlo. In caso contrario, il titolare non sta applicando un meccanismo conforme al GDPR);
  • Balancing of interests – Where legitimate interests is the legal basis, the controller must carry out a weighted balancing of interest, giving particular consideration to the power imbalance, specifically children under the age of 18 and other vulnerable groups. There shall be measures and safeguards to mitigate the negative impact on the data subjects (bilanciamento di interessi – se la base giuridica è l’interesse legittimo, il titolare deve effettuare un bilanciamento di interessi, con particolare attenzione ai rapporti di forza, a maggior ragione nei confronti di minori ed altri gruppi vulnerabili. Devono essere garantite misure per limitare l’impatto negativo sugli interessati);
  • Predetermination – The legal basis shall be established before the processing takes place (predeterminazione – la base giuridica deve essere prevista prima dell’inizio del trattamento);
  • Cessation – If the legal basis ceases to apply, the processing shall cease accordingly (cessazione – se la base giuridica non è più utilizzata, il corrispondente trattamento deve cessare);
  • Adjust – If there is a valid change of legal basis for the processing, the actual processing must be adjusted in accordance with the new legal basis (aggiustamento – se muta lecitamente la base giuridica, il trattamento deve essere adeguato di conseguenza);
  • Allocation of responsibility – Whenever joint controllership is envisaged, the parties must apportion in a clear and transparent way their respective responsibilities vis-à-vis the data subject, and design the measures of the processing in accordance with this allocation (allocazione della responsabilità – in caso di più titolari, questi devono stabilire le rispettive responsabilità in modo chiaro e trasparente per l’interessato e assumere le corrispondenti misure di trattamento).

3. Fairness (correttezza)

I dati personali dovrebbero essere trattati in modo non ingiustificatamente pregiudizievole, discriminatorio, inaspettato, ingannevole nei confronti dell’interessato.

Le parole chiave indicate (e meramente indicative) nelle linee guida per il presente principio sono quattordici:

  • Autonomy – Data subjects should be granted the highest degree of autonomy possible to determine the use made of their personal data, as well as over the scope and conditions of that use or processing (autonomia – agli interessati dovrebbe essere garantito il massimo grado possibile di autonomia nel determinare l’uso fatto dei loro dati, nonché l’ambito e le condizioni di trattamento);
  • Interaction – Data subjects must be able to communicate and exercise their rights in respect of the personal data processed by the controller (interazione – gli interessati devono essere messi in condizione di poter comunicare ed esercitare i propri diritti in relazione ai dati);
  • Expectation – Processing should correspond with data subjects’ reasonable expectations (tutela dell’aspettativa – il trattamento dovrebbe rispettare le ragionevoli aspettative degli interessati);
  • Non-discrimination – The controller shall not unfairly discriminate against data subjects (non discriminazione – il titolare non deve discriminare ingiustamente gli interessati);
  • Non-exploitation – The controller should not exploit the needs or vulnerabilities of data subjects (non approfittamento – il titolare non dovrebbe sfruttare le necessità o le vulnerabilità degli interessati);
  • Consumer choice – The controller should not “lock in” their users in an unfair manner. Whenever a service processing personal data is proprietary, it may create a lock-in to the service, which may not be fair, if it impairs the data subjects’ possibility to exercise their right of data portability in accordance with Article 20 (libertà di scelta del consumatore – il titolare non dovrebbe “imbrigliare” gli utenti nei propri servizi in modo scorretto e in ogni caso non dovrebbe ostacolare l’esercizio del diritto alla portabilità ex art. 20 GDPR);
  • Power balance – Power balance should be a key objective of the controller-data subject relationship. Power imbalances should be avoided. When this is not possible, they should be recognised and accounted for with suitable countermeasures (bilanciamento di potere – questo bilanciamento dovrebbe essere un obiettivo fondamentale del rapporto titolare-interessato. La disparità di potere dovrebbe essere evitata. Quando ciò non sia possibile, la disparità andrebbe bilanciata con adeguati rimedi);
  • No risk transfer – Controllers should not transfer the risks of the enterprise to the data subjects (evitare il passaggio del rischio – il titolare non dovrebbe trasferire il rischio di impresa sugli interessati);
  • No deception – Data processing information and options should be provided in an objective and neutral way, avoiding any deceptive or manipulative language or design (rifiuto del dolo – le informazioni e opzioni del trattamento dovrebbero essere rappresentate in modo oggettivo e neutrale, evitando linguaggio e forme ingannevoli o manipolativi);
  • Respect rights – The controller must respect the fundamental rights of data subjects and implement appropriate measures and safeguards and not impinge on those rights unless expressly justified by law (rispetto dei diritti – il titolare deve rispettare i diritti fondamentali degli interessati ed assumere misure e garanzie appropriate per non violarli, salvo che sia espressamente ammesso dalla legge);
  • Ethical – The controller should see the processing’s wider impact on individuals’ rights and dignity (etica – il titolare dovrebbe valutare il trattamento anche per l’impatto che questo può avere sui diritti e la dignità degli individui);
  • Truthful – The controller must make available information about how they process personal data, they should act as they declare they will and not mislead the data subjects (verità – il titolare deve rendere disponibili le informazioni su come tratta i dati personali, dovrebbe trattare i dati come dichiara e non indurre in errore gli interessati);
  • Human intervention – The controller must incorporate qualified human intervention that is capable of uncovering biases that machines may create in accordance with the right to not be subject to automated individual decision making in Article 22 (intervento umano – il titolare deve ricorrere a intervento umano qualificato in ossequio all’art. 22 GDPR);
  • Fair algorithms – Regularly assess whether algorithms are functioning in line with the purposes and adjust the algorithms to mitigate uncovered biases and ensure fairness in the processing. Data subjects should be informed about the functioning of the processing of personal data based on algorithms that analyse or make predictions about them, such as work performance, economic situation, health, personal preferences, reliability or behaviour, location or movements (algoritmi corretti – verificare con regolarità che gli algoritmi operino in linea con le finalità del trattamento e, in caso di necessità, adeguarli. Gli interessati dovrebbero essere informati del meccanismo di funzionamento del trattamento dati basato su algoritmi di analisi o predittivi, vertenti su rendimento lavorativo, condizione economica, salute, preferenze personali, affidabilità o comportamento, localizzazione o spostamenti).

4. Purpose limitation (limitazione delle finalità)

Il titolare deve raccogliere dati personali per finalità lecite, esplicite e specifiche e nessun trattamento incompatibile con quello originario deve essere effettuato.

Le parole chiave indicate (e meramente indicative) nelle linee guida per il presente principio sono otto:

  • Predetermination – The legitimate purposes shall be determined before the design of the processing (predeterminazione – le finalità devono essere determinate prima della predisposizione del trattamento);
  • Specificity – The purposes shall be specified and explicit as to why personal data is being processed (specificità – le finalità devono essere specifiche ed esplicite sul perché i dati vengono trattati);
  • Purpose orientation – The purpose of processing should guide the design of the processing and set processing boundaries (mezzo al servizio del fine – la finalità del trattamento dovrebbe guidare la predisposizione del trattamento e porre dei limiti al trattamento);
  • Necessity – The purpose determines what personal data is necessary for the processing (necessità – la finalità determina quali dati personali devono essere trattati);
  • Compatibility – Any new purpose must be compatible with the original purpose for which the data was collected and guide relevant changes in design (compatibilità – ogni nuova finalità deve essere compatibile con quella originaria per cui i dati furono raccolti e deve guidare i relativi cambiamenti nel trattamento);
  • Limit further processing – The controller should not connect datasets or perform any further processing for new incompatible purposes (astensione dal trattamento ulteriore – il titolare non dovrebbe connettere gruppi di dati o effettuare ulteriori trattamenti per nuove finalità incompatibili);
  • Limitations of reuse – The controller should use technical measures, including hashing and encryption, to limit the possibility of repurposing personal data. The controller should also have organisational measures, such as policies and contractual obligations, which limit reuse of personal data (astensione dal riutilizzo – il titolare dovrebbe adottare misure tecniche, compresi hashing e crittografia, per limitare la possibilità di rifinalizzazione dei dati. Il titolare adottare misure organizzative, come policy e disposizioni contrattuali, che limitino il riutilizzo di dati personali);
  • Review – The controller should regularly review whether the processing is necessary for the purposes for which the data was collected and test the design against purpose limitation (verifica – il titolare dovrebbe periodicamente verificare se il trattamento è necessario per le finalità originarie e testare trattamento e limitazione delle finalità).

5. Data minimisation (minimizzazione dei dati)

Solo i dati personali pertinenti, rilevanti e limitati a quanto è necessario per la realizzazione della finalità devono essere trattati. Periodicamente, il titolare deve verificare se i dati personali trattati siano sempre pertinenti, rilevanti e limitati o se debbano essere cancellati o anonimizzati.

La valutazione di utilizzo minimo dei dati deve essere effettuata prima che il trattamento abbia inizio e, come visto, tramite verifiche periodiche. La minimizzazione può riferirsi anche ai dati personali in termini di grado di identificazione.

Le parole chiave indicate (e meramente indicative) nelle linee guida per il presente principio sono dieci:

  • Data avoidance – Avoid processing personal data altogether when this is possible for the relevant purpose (contenimento dell’utilizzo dei dati – evitare, quando possibile, di trattare dati personali per la finalità relativa);
  • Limitation – Limit the amount of personal data collected to what is necessary for the purpose (limitazione – limitare la quantità di dati personali raccolta al necessario per la finalità);
  • Access limitation – Shape the data processing in a way that a minimal number of people need access to personal data to perform their duties, and limit access accordingly (limitazione d’accesso – il trattamento sia tale da ridurre al minimo necessario i soggetti aventi accesso ai dati personali);
  • Relevance – Personal data should be relevant to the processing in question, and the controller should be able to demonstrate this relevance (pertinenza – i dati personali dovrebbero essere pertinenti al trattamento ed il titolare dovrebbe essere in grado di dimostrarlo);
  • Necessity – Each personal data category shall be necessary for the specified purposes and should only be processed if it is not possible to fulfil the purpose by other means (necessità – ogni categoria di dati personali deve essere necessaria per le finalità specifiche e dovrebbe essere trattata solo se non vi è altro modo di conseguire la finalità stessa);
  • Aggregation – Use aggregated data when possible (aggregazione – utilizzare dati aggregati, ove possibile);
  • Pseudonymization – Pseudonymize personal data as soon as it is no longer necessary to have directly identifiable personal data, and store identification keys separately (pseudonomizzazione – pseudonomizzare i dati non appena perdono la necessità di essere direttamente identificabili, conservando separatamente i codici);
  • Anonymization and deletion – Where personal data is not, or no longer necessary for the purpose, personal data shall be anonymized or deleted (anonimizzazione e cancellazione – quando il dato non è necessario deve essere anonimizzato o cancellato);
  • Data flow – The data flow should be made efficient enough to not create more copies than necessary (efficienza del flusso di dati – il flusso di dati dovrebbe essere efficiente al punto da non doversi fare più copie del necessario);
  • “State of the art” – The controller should apply up to date and appropriate technologies for data avoidance and minimization (stato dell’arte – il titolare dovrebbe avvalersi di mezzi aggiornati).

6. Accuracy (esattezza)

I dati personali devono essere esatti e aggiornati e – in caso gli stessi siano errati – è necessario attivarsi tempestivamente tramite rettifica o cancellazione.

Le parole chiave indicate (e meramente indicative) nelle linee guida per il presente principio sono dieci:

  • Data source – Sources of personal data should be reliable in terms of data accuracy (fonti – le fonti dei dati personali dovrebbero essere affidabili in termini di accuratezza);
  • Degree of accuracy – Each personal data element should be as accurate as necessary for the specified purposes (gradi di esattezza – ogni elemento del dato personale dovrebbe essere tanto preciso quanto questo è necessario per le specifiche finalità);
  • Measurably accurate – Reduce the number of false positives/negatives, for example biases in automated decisions and artificial intelligence (precisione quantificabile – ridurre il numero di falsi positivi o negativi, per esempio bias nelle decisioni automatizzate e nell’intelligenza artificiale);
  • Verification – Depending on the nature of the data, in relation to how often it may change, the controller should verify the correctness of personal data with the data subject before and at different stages of the processing (e.g. to age requirements) (verifica – a seconda della natura del dato e a quanto di frequente possa cambiare, il titolare dovrebbe verificare la correttezza del dato con l’interessato prima del trattamento e in vari stadi dello stesso (ad es. riguardo ai requisiti concernenti l’età));
  • Erasure/rectification – The controller shall erase or rectify inaccurate data without delay. The controller shall in particular facilitate this where the data subjects are or were children and later want to remove such personal data (cancellazione/rettifica – il titolare deve rettificare/cancellare i dati errati senza ritardo. In particolare, il titolare dovrebbe agevolare questi trattamenti in caso di minori o di interessati che appartenevano alla categoria dei minori);
  • Error propagation avoidance – Controllers should mitigate the effect of an accumulated error in the processing chain (contenimento della propagazione dell’errore – il titolare dovrebbe limitare gli effetti di errori accumulati nella catena del trattamento);
  • Access – Data subjects should be given information about and effective access to personal data in accordance with the GDPR articles 12 to 15 in order to control accuracy and rectify as needed (accesso – gli interessati dovrebbero ricevere informazioni ed accesso reale ai dati personali come da artt. da 12 a 15 GDPR per controllare l’esattezza dei dati e rettificarli, se necessario);
  • Continued accuracy – Personal data should be accurate at all stages of the processing, tests of accuracy should be carried out at critical steps (esattezza continuativa– i dati dovrebbero essere corretti ad ogni fase del trattamento ed un test di accuratezza dovrebbe essere effettuato alle tappe fondamentali);
  • Up to date – Personal data shall be updated if necessary for the purpose (aggiornamento – i dati dovrebbero essere aggiornati, se serve);
  • Data design – Use of technological and organisational design features to decrease inaccuracy, for example present concise predetermined choices instead of free text fields (progettazione del dato – utilizzare accorgimenti tecnologici e organizzativi per ridurre le imprecisioni, per esempio fornire all’interessato risposte multiple predeterminate piuttosto che spazi a compilazione libera).

7. Storage limitation (limitazione della conservazione)

Il titolare deve assicurare che i dati personali siano conservati in modo da permettere l’identificazione degli interessati per un tempo non superiore a quello necessario perché si realizzino le finalità relative.

Le parole chiave indicate (e meramente indicative) nelle linee guida per il presente principio sono otto:

  • Deletion and anonymization – The controller should have clear internal procedures and functionalities for deletion and/or anonymization (cancellazione e anonimizzazione – il titolare dovrebbe avere precise procedure interne e funzionalità per la cancellazione e/o l’anonimizzazione);
  • Effectiveness of anonymization/deletion – The controller shall make sure that it is not possible to re-identify anonymized data or recover deleted data, and should test whether this is possible (effettività di anonimizzazione/cancellazione – il titolare deve far sì che non sia possibile reindentificare i dati anonimizzati o recuperare i dati cancellati e dovrebbe verificare che ciò non sia possibile);
  • Automation – Deletion of certain personal data should be automated (automazione – la cancellazione di taluni dati personali dovrebbe essere automatizzata);
  • Storage criteria – The controller shall determine what data and length of storage is necessary for the purpose (criteri di conservazione – il titolare deve determinare quali dati e per quanto debbano essere conservati per la corrispondente finalità);
  • Justification – The controller shall be able to justify why the period of storage is necessary for the purpose and the personal data in question, and be able to disclose the rationale behind, and legal grounds for the retention period (giustificazione – il titolare deve essere in grado di giustificare un  periodo di conservazione e la sua necessità, indicarne la ratio e le basi legali);
  • Enforcement of retention policies – The controller should enforce internal retention policies and conduct tests of whether the organization practices its policies (esecuzione delle policy di conservazione – il titolare deve assicurare l’esecuzione delle policy di conservazione);
  • Backups/logs – Controllers shall determine what personal data and length of storage is necessary for back-ups and logs (backup/log – il titolare deve determinare quali dati personali debbano essere conservati e per quanto tempo ai fini di operazioni di backup e log);
  • Data flow – Controllers should beware of the flow of personal data, and the storage of any copies thereof, and seek to limit their “temporary” storage (flusso dati e conservazione – I titolari dovrebbero essere a conoscenza del flusso di dati personali e delle relative copie nonché dovrebbero limitarne la conservazione temporanea).

8. Integrity and confidentiality (integrità e riservatezza)

Questo principio è volto alla tutela dei dati personali tanto da minacce esterne, quanto da perdite, distruzioni, cancellazioni accidentali in capo al titolare.

Le parole chiave indicate (e meramente indicative) nelle linee guida per il presente principio sono tredici:

  • Information security management system (ISMS) – Have an operative means of managing policies and procedures for information security (ISMS – avere uno strumento operativo di gestione delle policies e delle procedure di sicurezza);
  • Risk analysis – Assess the risks against the security of personal data by considering the impact on individuals’ rights and counter identified risks. For use in risk assessment; develop and maintain a comprehensive, systematic and realistic “threat modelling” and an attack surface analysis of the designed software to reduce attack vectors and opportunities to exploit weak points and vulnerabilities (analisi del rischio – verificare i rischi di sicurezza dei dati personali tramite verifica dell’impatto sui diritti degli individui e controverifica dei rischi identificati. Sviluppare e mantenere un sistema globale di verifica realistica e sistematica e di analisi dei punti esposti ad attacco per ridurre le opportunità di sfruttamento delle vulnerabilità);
  • Security by design – Consider security requirements as early as possible in the system design and development and continuously integrate and perform relevant tests (sicurezza come progettazione – considerare i requisiti di sicurezza il prima possibile nell’ambito della progettazione e dello sviluppo del sistema, con mantenimento, miglioramento e verifica periodici);
  • Maintenance – Regular review and test software, hardware, systems and services, etc. to uncover vulnerabilities of the systems supporting the processing (manutenzione – verifica periodica di software, hardware, sistemi e servizi per rilevare le vulnerabilità dei sistemi a supporto del trattamento);
  • Access control management – Only the authorized personnel who need to should have access to the personal data necessary for their processing tasks, and the controller should differentiate between access privileges of authorized personnel (controllo accessi – solo il personale autorizzato che necessiti di accedere ai dati dovrebbe avere le credenziali per farlo, anche su più livelli di dati in base alla mansione).

o Access limitation (agents) – Shape the data processing in a way that a minimal number of people need access to personal data to perform their duties, and limit access accordingly (soggetti – accesso consentito ad un numero minimo di soggetti per svolgere le dovute mansioni).

o Access limitation (content) – In the context of each processing operation, limit access to only those attributes per data set that are needed to perform that operation. Moreover, limit access to data pertaining to those data subjects who are in the remit of the respective employee (contenuto – per ogni operazione di trattamento, limitare accesso ai soli dati personali utili per eseguire la data operazione. Inoltre, limitare l’accesso ai dati degli interessati che siano di competenza solo del relativo operatore).

o Access segregation – Shape the data processing in a way that no individual needs comprehensive access to all data collected about a data subject, much less all personal data of a particular category of data subjects (segregazione dell’accesso – progettare il trattamento in modo tale che nessuno abbia necessità di accedere a tutti i dati raccolti su di un interessato, a maggior ragione a fronte di particolari categorie di interessati);

  • Secure transfers – Transfers shall be secured against unauthorized and accidental access and changes (messa in sicurezza dei trasferimenti – i trasferimenti dovrebbero essere protetti da accessi e cambiamenti non autorizzati o accidentali);
  • Secure storage – Data storage shall be secure from unauthorized access and changes. There should be procedures to assess the risk of centralized or decentralized storage, and what categories of personal data this applies to. Some data may need additional security measures than others or isolation from others (messa in sicurezza della conservazione – la conservazione deve essere protetta da accessi e cambiamenti non autorizzati. Occorre implementare procedure per valutare il rischio di una conservazione centralizzata o decentrata e per quali categorie di dati. Alcuni dati potrebbero necessitare di una sicurezza maggiore o di isolamento da taluni altri dati);
  • Pseudonymization – Personal data and back-ups/logs should be pseudonymized as a security measure to minimise risks of potential data breaches, for example using hashing or encryption (pseudonimizzazione – i dati e i backup/log dovrebbero essere pseudonimizzati, per esempio tramite hashing o crittografia, come misura di sicurezza per minimizzare il rischio di potenziali data breach);
  • Backups/logs – Keep back-ups and logs to the extent necessary for information security, use audit trails and event monitoring as a routine security control. These shall be protected from unauthorised and accidental access and change and reviewed regularly and incidents should be handled promptly (backup/log – mantenere questi per quanto necessario a fini di sicurezza, utilizzare verifica e monitoriaggio degli eventi come controllo di routine. Backup/log dovrebbero essere protetti da accessi e cambiamenti non autorizzati o accidentali e verificati regolarmente. In caso di incidenti, questi dovrebbero essere gestiti immediatamente);
  • Disaster recovery/ business continuity – Address information system disaster recovery and business continuity requirements to restore the availability of personal data following up major incidents (recupero dal disastro/continuità aziendale – ricorrere a piani di recupero e continuità per ripristinare la disponibilità dei dati personali a seguito di grandi incidenti);
  • Protection according to risk – All categories of personal data should be protected with measures adequate with respect to the risk of a security breach. Data presenting special risks should, when possible, be kept separated from the rest of the personal data (protezione parametrata al rischio – tutte le categorie di dati personali dovrebbero essere protette con misure adeguate in relazione al rischio di data breach);
  • Security incident response management – Have in place routines, procedures and resources to detect, contain, handle, report and learn from data breaches (gestione della risposta a un incidente di sicurezza – disporre di procedure e risorse per individuare, limitare, gestire, registrare e apprendere dai data breach);
  • Incident management – Controller should have processes in place to handle breaches and incidents, in order to make the processing system more robust. This includes notification procedures, such as management of notification (to the supervisory authority) and information (to data subjects) (gestione degli incidenti – il titolare dovrebbe disporre di procedure funzionanti per gestire breach e incidenti al fine di rendere il sistema di trattamento più resiliente. Questo include procedure standardizzate di notifica all’Autorità di controllo e di informazione agli interessati).

Certificazione

Le linee guida ricordano che è possibile utilizzare un meccanismo di certificazione ex art. 25, paragrafo 3, GDPR, approvato ai sensi dell’articolo 42 GDPR, come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del medesimo art. 25.

Art. 25 GDPR, verifiche e sanzioni

Le linee guida ricordano che le Autorità di controllo possono valutare la rispondenza all’art. 25 attraverso le procedure ex art. 58 ed esercitare i poteri indicati nel medesimo.

Viene ricordato inoltre che la data protection by design and by default è uno degli elementi utilizzabili per determinare l’ammontare delle sanzioni amministrative pecuniarie ex art. 83 GDPR.

________________________________________________________________________________________________________________________________________________

Tutte le traduzioni proposte in questo testo perseguono il solo scopo di rendere più comprensibile allo scrivente il significato dell’originale inglese, nell’intento di meglio comprendere come applicare le linee guida in un contesto italiano. Esse non hanno quindi alcuna ambizione di correttezza, non sono letterali né complete e sono solo una mia interpretazione, non sono state oggetto di revisione da parte di traduttore professionista. Molte volte ho lasciato il testo inglese a fronte proprio per permettere al lettore di misurarsi personalmente con la versione nella lingua originale.

Si consiglia di consultare le linee guida per un migliore approfondimento e anche per leggere gli esempi di casi concreti ivi contenuti e non citati in questa breve disamina.