Analisi della protezione dei dati per difetto nell’art. 25(2) GDPR
Home » GDPR » Concetti principali » Protezione dei dati per progettazione e per impostazione predefinita » Analisi della protezione dei dati per difetto nell’art. 25(2) GDPR

Di seguito analizzeremo i requisiti dell’art. 25(2) GDPR. Utilizza la definizione di default fornita nella sezione “determinare le istruzioni per le risorse tecniche” di questo documento (1.3.3).

Come è chiaro dalla definizione di cui sopra, le impostazioni predefinite riguardano le impostazioni (a volte disposte come preferenze o profilo utente) che sono sotto il controllo della persona interessata. I titolari del trattamento decidono le impostazioni di default, cioè le impostazioni che sono attive in assenza di qualsiasi intervento da parte dell’interessato.

Queste impostazioni influenzano l’elaborazione che avviene, compresi i seguenti aspetti:

  • i dati personali che vengono trattati,
  • l’entità dell’elaborazione che viene eseguita,
  • il periodo per il quale i dati sono conservati, e
  • le persone fisiche a cui sono resi accessibili i dati personali.

Il seguente esempio di impostazioni lo illustra:

  • Gli interessati possono opzionalmente fornire un indirizzo e-mail per essere informati sullo stato di elaborazione di un ordine. Evidentemente, questo influisce sulla quantità di dati personali trattati dal titolare del trattamento. Influisce anche sulla portata del trattamento.
  • Per l’elaborazione di un ordine, gli interessati devono sempre fornire un indirizzo di spedizione e le informazioni di pagamento. Opzionalmente, possono cliccare su una casella per ricordare queste informazioni per evitare di digitarle ripetutamente per ordini futuri. Mentre la quantità di dati trattati dal titolare del trattamento è sempre la stessa, l’opzione controllata dall’utente influisce ovviamente sul periodo di conservazione di tali dati.
  • Un fornitore di social media può presentare ai suoi utenti delle impostazioni di privacy che controllano la visibilità dei loro post, che vanno dai soli amici stretti a tutti. Evidentemente, queste impostazioni di privacy controllano le persone fisiche che hanno accesso ai post, che rappresentano dati personali.

Il GDPR include quanto segue:

Art. 25(2):

Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che, di default, siano trattati solo i dati personali necessari per ogni scopo specifico del trattamento. Tale obbligo riguarda la quantità di dati personali raccolti, la portata del loro trattamento, la durata della loro conservazione e la loro accessibilità. In particolare, tali misure devono garantire che di default i dati personali non siano resi accessibili, senza l’intervento dell’interessato, a un numero indefinito di persone fisiche.

L’art. 25(2) prevede quindi che, per difetto, il trattamento sia limitato a quanto necessario per le finalità. Chiarisce inoltre che ciò deve essere inteso per quanto riguarda la quantità di dati, la portata del trattamento e il periodo di conservazione dei dati. La terza frase afferma che ciò è applicabile[1] anche al numero di persone a cui i dati sono resi accessibili. Questo sembra quindi riferirsi al numero di destinatari (come definito nell’art. 4(9) GDPR).

La formulazione dell’art. 25(2) implica che ci devono essere alcuni tipi di scopi aggiuntivi: per default, il trattamento deve essere limitato a un certo insieme di scopi; ma dopo l’intervento della persona interessata, evidentemente il trattamento va oltre questa limitazione. Ciò implica che il trattamento persegue poi finalità aggiuntive.

Gli esempi di cui sopra aiutano a capire meglio. Nel primo esempio, lo scopo aggiuntivo è quello di tenere la persona interessata informata sullo stato di elaborazione degli ordini. Nel secondo esempio, lo scopo aggiuntivo è quello di migliorare la comodità dell’utente per gli interessati che prevedono di effettuare nuovamente ordini in futuro. Nel terzo esempio, non viene perseguito alcuno scopo aggiuntivo. Piuttosto, è sempre presente lo scopo di limitare la visibilità dei post sui social media alla gamma prevista dall’utente. Si noti che la terza frase dell’art. 25(2) che si adatta a questo esempio si astiene anche dal fare riferimento agli scopi.

Questi esempi illustrano che gli scopi aggiuntivi e gli scopi sottostanti la situazione affrontata nella terza frase sono sempre scopi che vanno a beneficio delle persone interessate.

Sulla base di questa analisi, l’art. 25(2) sembra affermare che per difetto:

  • gli scopi aggiuntivi che possono andare a beneficio degli interessati sono disabilitati, almeno nella misura in cui richiedono la raccolta di dati aggiuntivi, aumentano l’estensione del trattamento, causano un prolungamento del periodo di conservazione o aumentano il numero di destinatari;
  • se una finalità nell’interesse della persona interessata è sempre perseguita dal trattamento (cioè non può essere disattivata), il suo impatto sulla protezione dei dati deve essere ridotto al minimo per quanto riguarda i dati raccolti, la portata del trattamento, il periodo di conservazione e il numero di destinatari.

L’art. 25(2) può essere visto come una sorta di protezione contro le “porte di servizio” in cui i titolari del trattamento raccolgono ulteriori dati, li conservano per periodi più lunghi, aumentano l’estensione del trattamento o i destinatari, con la giustificazione che era il desiderio della persona interessata. Evidentemente, gli interessati che non sono intervenuti in alcun modo, possono anche non essere consapevoli dei “loro desideri”, possono non aver letto l’espressione dei loro desideri in dettaglio, o sono almeno influenzati dai valori predefiniti per esprimere più probabilmente “desideri” favoriti dal titolare del trattamento.

Questa salvaguardia che richiede esplicitamente l’intervento esplicito della persona interessata impone quindi l’uso di dialoghi di opt-in e vieta i dialoghi di opt-out. È lo stesso concetto che viene chiamato “azione di affermazione chiara” nel contesto del consenso (vedi Art. 4(11) GDPR). È direttamente paragonabile ad affermare che senza una chiara azione affermativa, cioè “senza l’intervento dell’individuo“, un trattamento aggiuntivo in termini di quantità e periodo di conservazione dei dati, estensione del trattamento, o numero di destinatari è illegittimo. È importante notare che questo requisito di soluzioni opt-in è indipendente dal fatto che il consenso sia scelto come base giuridica o meno.

Sulla base dell’analisi di cui sopra, le misure di cui all’art. 25(2) potrebbero includere quanto segue:

  • Misure che accertano che le impostazioni predefinite riducono al minimo l’impatto del trattamento sulla protezione dei dati.
  • Misure che accertano che gli interessati siano informati delle conseguenze delle impostazioni che sono sotto il loro controllo.
  • Misure che accertano che le decisioni espresse dalle impostazioni siano specifiche. Per esempio, gli scopi aggiuntivi non possono essere abilitati tutti con una sola casella di controllo, ma deve essere possibile abilitarli singolarmente.
  • Misure che verificano l’assenza di qualsiasi tipo di nudging nel dialogo in cui gli utenti scelgono le loro impostazioni, al fine di assicurarsi che l’interessato possa scegliere liberamente le sue preferenze.

 

  1. “In particolare” indica che il resto della frase è un’applicazione dell’espressione della frase precedente.

 

Skip to content