Estratto SIG – By design e by default – prima parte
Il Comitato europeo (EDPB), trascorso il periodo di consultazione pubblica, ha adottato il 20 ottobre 2020 in via definitiva le linee guida n. 04/2019 sull’articolo 25 del GDPR. Questa disposizione disciplina il tema della protezione dei dati personali sin dalle fase di progettazione (by design) e per impostazione predefinita (by default).
Sintesi
Accountability
Il principio di responsabilizzazione o accountability, come indicato nelle linee guida 04/2019, «è generale: richiede che il titolare del trattamento sia responsabile nella scelta delle misure tecniche e organizzative necessarie»; in verità, esso si declina in più modi, ad esempio: in aggiunta all’adozione di misure tecnico-organizzative adeguate, seguendo l’approccio basato sul rischio con un’accurata analisi dei rischi per qualsiasi trattamento nonchè la dpia per quelli a presumibile rischio elevato, adottando un appropriato sistema documentale, dotandosi di un modello di governo data protection integrato nel proprio assetto organizzativo interno.
Il titolare del trattamento è il soggetto che il legislatore ritiene primariamente destinatario e responsabile delle prescrizioni di legge e l’obbligo di accountability è la più alta manifestazione di tale responsabilità. Spetta al titolare, pertanto, rendere effettivo questo obbligo mediante una serie di interventi e azioni, talune esplicitate nel regolamento, altre desunte dalla lettura “in filigrana” della norma.