Bud P. Bruegger (ULD)
Ringraziamenti: L’autore ringrazia l’aiuto di Kirsten Bock per l’interpretazione giuridica, il feedback e la revisione di Harald Zwingelberg e una revisione dettagliata e i suggerimenti di Hans Graux |
Questa parte delle Linee guida è stata infine convalidata da Hans Graux, docente ospite sul diritto delle TIC e della protezione della privacy al Tilburg Institute for Law, Technology, and Society (TILT) e alla AP Hogeschool Antwerpen. Presidente del Vlaamse Toezichtscommissie (Comitato di vigilanza fiammingo), che controlla la conformità della protezione dei dati negli enti pubblici fiamminghi
La presente sezione cerca di fornire ai professionisti una comprensione più dettagliata di come attuare praticamente i requisiti dell’Art. 25 GDPR Protezione dei dati per progettazione e per impostazione predefinita (DPbDD).
La presente sezione sul DPbDD è strutturata come segue:
Una prima sottosezione discute le Linee guida sull’argomento pubblicate dall’EDPB. Sottolinea le differenze con l’approccio adottato qui.
Una seconda sottosezione descrive la portata degli obblighi derivanti dall’art. 25 GDPR. Soprattutto, chiarisce in che modo i fornitori di tecnologia sono interessati da esso.
Una terza sottosezione analizza l’art. 25 GDPR. Poiché l’art. 25(1) obbliga i titolari del trattamento ad attuare misure sia al momento della determinazione dei mezzi che al momento del trattamento stesso, viene discusso il significato preciso della determinazione dei mezzi e del trattamento stesso. Questo si basa su un’analisi di ciò che il GDPR afferma sulla struttura del trattamento. L’analisi dell’art. 25(1) mette anche l’accento sul significato di efficacia delle misure. La discussione dell’art. 25(2) spiega cosa si intende esattamente con il termine default e analizza gli obblighi del titolare del trattamento.
Una quarta sottosezione si concentra sui processi effettivi che implementano la protezione dei dati per progettazione. In particolare, descrive i processi per implementare il DPbDD nelle tre fasi principali di determinazione degli scopi, determinazione dei mezzi e l’elaborazione stessa. Questi processi mirano a un’implementazione sistematica dei principi di protezione dei dati in ogni compito di lavoro di ogni fase. Questo porta poi all’identificazione e all’implementazione di misure tecniche e organizzative.