Sono state adottate (e di prossima pubblicazione) dall’EDPB le linee guida sulla protezione dei dati by design e by default, le quali si concentrano sull’obbligo della protezione dei dati by design e by default per come previsto dall’art. 25 GDPR, obbligo che si sostanzia nell’effettiva attuazione dei principi di protezione dei dati e dei diritti e delle libertà delle persone interessate già nella fase di progettazione. Ciò significa che i titolari del trattamento devono prevedere misure tecniche e organizzative adeguate e le necessarie garanzie (la cui efficacia devono essere in grado di provare), volte ad attuare in pratica i principi di protezione dei dati ed a proteggere i diritti e le libertà degli interessati.
Le Linee Guida contengono indicazioni su come attuare efficacemente i principi cui all’articolo 5 GDPR, elencando gli elementi chiave di design e di default, nonché casi pratici quali esemplificazioni. Esse forniscono inoltre raccomandazioni su come i titolari, responsabili e produttori possono cooperare per adempiere all’obbligo ex art. 25 GDPR.
L’ EDPB ha deciso inoltre di istituire un Coordinated Enforcement Framework (CEF). Il CEF fornisce una struttura per il coordinamento delle attività annuali delle autorità di vigilanza dell’ EDPB. L’obiettivo del CEF è quello di facilitare, attraverso modalità flessibili e coordinate, le azioni congiunte, che vanno dallo sviluppo di una consapevolezza condivisa alla raccolta di informazioni per controlli a tappeto ed indagini. Lo scopo delle azioni annuali coordinate è quello di promuovere il rispetto delle norme, di mettere gli interessati in grado di esercitare i loro diritti e di aumentare la consapevolezza comune.
Guidelines on data protection by design and by default has been adopted (and will soon be published) by the EDPB, focusing on the obligation of data protection by design and by default as set forth in Article 25 GDPR, an obligation that takes the form of the effective implementation of data protection principles and the rights and freedoms of data subjects already at the design stage. This means that data controllers must provide appropriate technical and organizational measures and the necessary safeguards (the effectiveness of which they must be able to prove), aimed at implementing data protection principles in practice and protecting the rights and freedoms of data subjects.
