privacy,GDPR,LPD,privacy by design, privacy by default

La giusta partenza per una start-up - PRIVACY PRIORITY

Cerca
Vai ai contenuti

Menu principale:

Privacy by design e privacy by default

Progettare il trattamento dei dati prima di iniziarlo. QUALI DATI TRATTO? PERCHE' LI TRATTO? QUALI SONO I RISCHI? Prevenire e non correggere dev'essere la mentalità collettiva di chi tratta i dati e di chi progetta il trattamento, requisito essenziale per studiare ed eseguire procedure e regole di condotta comformi alle normative vigenti. Le leggi obligano ad una protezione dei dati EFFETTIVA non FORMALE. (GDPR europeo, LPD Federale svizzera).
Per impostazione i dati trattati devono essere quelli strettamente essenziali allo scopo del trattamento, non devono quindi essere eccessivi, o indebitamente trattati, o trattati senza consenso espesso, o legittimo interesse di persone fisiche, giuridiche o autorità.

Articolo 25 GDPR - Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita
1.Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
2.Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica.
3.Un meccanismo di certificazione approvato ai sensi dell'articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.

Le due leggi (EU e CH) hanno in comune la pretesa della solidità delle procedure, che a seconda dei trattamenti può variare. La sicurezza cambia se la gestione dell'azienda è familiare o no, se è di grandi dimensioni o piccola, se trasferisce i dati per il trattamento, o li condivide, o li tratta direttamente, ecc. E' molto difficile effettuare senza la possibilità di errore un copia incolla di procedure già attuate, sopratutto perchè prima di lanciare un trattamento rientra nel buon senso effettuare dei test di simulazione, che quasi sempre suggeriscono aggiornamenti e modifiche che sono riconducibili alla sola personalità dell'azienda che tratterà i dati.

Quindi allo scopo effettuare delle procedure forti ed efficaci, già in audit preliminare, questi due principi obbligano chi tratta i dati e chi progetta il trattamento, a procedere ad una valutazione d'impatto.



 
Copyright 2015. All rights reserved.
Torna ai contenuti | Torna al menu