17 Mag Privacy by design and by default: definizione
Come già indicato il Regolamento lascia al titolari del trattamento una significativa attività decisionale in merito alle modalità effettive da adottare al fine di conformarsi alle disposizioni per mezzo di comportamenti proattivi.
Il rovescio di tale libertà risiede nel maggiore onere della prova attribuito al titolare del trattamento il quale è chiamato a dimostrare le ragioni a fondamento delle decisioni prese attraverso le quali ritiene di aver raggiunto un livello di conformità al Regolamento.
Dunque, attribuire la responsabilità ai titolari e dei responsabili del trattamento dei rischi per i diritti e per le libertà degli interessati derivanti dalle specifiche attività di trattamento di dati personali cd. accountability.
Tale processo organizzativo si riassume con l’espressione inglese privacy by design e by default e, dunque, sull’esigenza che la protezione dei dati personali deve essere garantita già a far tempo della progettazione.
A conforto di tale lettura, che la protezione dei dati personali sia garantita per impostazione predefinita, soccorre l’art. 25 del Regolamento laddove letteralemnte si legge: «Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della per-sona fisica».
Sulla base del criterio della privacy by default il titolare deve svolgere un’analisi preventiva della situazione complessiva e adottare un approccio pratico che si dovrà, a sua volta, concretizzare in una serie di attività specifiche e dimostrabili.
Va ricordato, infine, che ciascun titolare, nell’attuare le misure previste, dovrà sempre tenere conto dello stato dell’arte, dei costi di attuazione, della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei diversi rischi aventi probabilità e gravità variabili per i diritti e le libertà delle persone fisiche.