Misure tecniche e organizzative correlate
Home » GDPR » Principi » Legalità, equità e trasparenza » Misure tecniche e organizzative correlate

Esempi di misure per implementare diversi aspetti del principio sono forniti di seguito.

Legittimità e legalità

  • Almeno laddove la verifica e la dimostrazione della legittimità richiedono passi formali, questi possono essere considerati misure organizzative a sostegno della legittimità. Un primo esempio sono la richiesta e l’approvazione di certe ricerche mediche attraverso il comitato etico di ricerca competente.
  • Un pre-requisito per valutare sia la legittimità che la liceità è la specificazione di scopi espliciti. Questo di per sé può essere considerato una misura, in particolare quando va di pari passo con le considerazioni su come rendere la specificazione il più specifica e ristretta possibile. In questo caso, anche tale analisi può essere considerata parte di questa misura.
  • La principale misura a sostegno della liceità è identificare una o più basi giuridiche dell’art. 6(1) GDPR. In molti casi, un’attività di trattamento utilizza più basi giuridiche. Un caso d’uso [1]pubblicato dal Data Privacy Vocabulary Community Group del W3C fornisce un esempio facilmente accessibile.
  • Laddove l’art. 6(1)(a) GDPR, cioè il consenso, è stato scelto come base giuridica, un’analisi che giustifichi che i requisiti rigorosi del GDPR per il consenso (liberamente dato e informato) siano stati soddisfatti è una misura importante. Questo può per esempio includere test se le informazioni fornite come base per il consenso sono effettivamente comprensibili per gli interessati e se la revoca del consenso è davvero facile come darlo.
    • Inoltre, laddove sono interessati i bambini o altri soggetti vulnerabili, questa analisi dovrebbe porre particolare attenzione alle garanzie relative all’art. 7 GDPR.
  • Laddove l’art. 6(1)(f) GDPR, cioè il consenso legittimo da parte del titolare del trattamento, è stato scelto come base giuridica, le misure includono una precisa specificazione degli interessi legittimi, nonché un test di bilanciamento (si veda la sezione omonima in “Strumenti e azioni principali” nella Parte II di queste Linee guida) per accertare che questi prevalgano effettivamente sugli interessi, i diritti e le libertà degli interessati.
  • Con qualsiasi base giuridica, se i titolari del trattamento intendono trattare ulteriormente alcuni dati, al di là delle finalità iniziali, per finalità compatibili (cfr. art. 5(1)(b) GDPR), l’analisi basata sui criteri dell’Art. 6(4) per dimostrare che queste finalità aggiuntive sono effettivamente compatibili, è una misura che dimostra la liceità di tale trattamento.
  • Se vengono trattate categorie speciali di dati (cioè dati sensibili) o dati relativi a condanne penali, devono essere adottate ulteriori misure oltre a quelle relative all’art. 6(1) GDPR. In particolare, nel primo caso, la condizione dell’art. 9(2) GDPR, per cui si applica un’eccezione al divieto di trattamento dei dati sensibili, deve essere trovata e documentata. Nel secondo caso, le condizioni che rendono ammissibile il trattamento secondo l’art. 10 GDPR devono essere attuate e documentate.

Equità

  • Come è stato argomentato sopra, tutti i requisiti del GDPR possono essere considerati una questione di equità; diversi diritti degli interessati sono stati presentati come particolarmente rilevanti, tuttavia. Le prime misure a sostegno dell’equità sono quindi un’adeguata attuazione dei diritti degli interessati.

Trasparenza

  • L’attuazione dei requisiti degli artt. Da 12 a 14 GDPR per fornire informazioni adeguate e facilmente comprensibili agli interessati è una misura primaria per sostenere la trasparenza.
  • Lo stesso vale per i documenti preparati per informare le autorità di controllo, in particolare i registri di trattamento (secondo l’articolo 30 GDPR) e una valutazione d’impatto sulla protezione dei dati (secondo l’articolo 35 GDPR). Un’ulteriore misura è la pubblicazione parziale di questa valutazione d’impatto.
  • Qualsiasi analisi che valuti l’efficacia e l’accessibilità dell’informazione fornita – possibilmente in relazione a categorie speciali di soggetti come i bambini – può essere considerata una misura in sé.
  • La nomina di un Responsabile della protezione dei dati (DPO) può essere vista in parte come una misura per aumentare la trasparenza sia verso gli interessati che verso l’autorità di controllo.

 

  1. Bruegger, Schlehahn & Zwingelberg, Data Privacy Vocabulary Community Group, Data Protection Aspects of Online Shopping – A Use Case, https://www.w3.org/community/dpvcg/2019/12/12/data-protection-aspects-of-online-shopping-a-use-case/ (ultima visita 25/05/2020).

 

Skip to content