Il Comitato Europeo per la Protezione dei Dati (European Data Protection Board – EDPB), composto dai rappresentanti delle autorità nazionali per la protezione dei dati e dal Garante europeo della protezione dei dati (GEPD), ha pubblicato delle Linee guida relative alla protezione dei dati fin dalla progettazione e alla protezione per impostazione predefinita (by design & by default) ai sensi dell’art. 25 del Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (GDPR).
In particolare, le Linee guida hanno ad oggetto:
- l’adozione da parte dei titolari del trattamento dei dati di misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati e ad integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del GDPR e tutelare i diritti degli interessati;
- l’adozione di misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo fa riferimento alla quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità.
Inoltre, evidenzia l’EDPB, i responsabili del trattamento dovrebbero essere in grado di dimostrare che le misure attuate siano efficaci.