Il principio di privacy by default viene introdotto dal GDPR, precisamente attraverso l’art. 25 co. 2, il quale dispone:

“il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica”.

Tale principio, quindi, prevede che:

• le impostazioni di tutela dei dati personali relativi a prodotti e servizi rispettino i principi generali della protezione della privacy;
• la minimizzazione dei dati;
• la limitazione delle finalità.

Il responsabile del trattamento dovrà adeguare le misure e le procedure tecniche in modo da conformare il trattamento al regolamento e assicurare la tutela dei diritti dell’interessato.

La privacy by default, in sostanza, garantisce che siano trattati di default solo i dati personali necessari per ciascuna finalità e che la quantità di dati raccolti ed il tempo della loro conservazione non vada oltre lo stretto necessario per perseguirle.

Il default setting dovrà essere impostato, quindi, secondo il principio del would have wanted standard, cioè ciò che un utente ben informato sceglierebbe.

Nel caso della privacy le impostazioni di default saranno impostate sulla soluzione più favorevole alla parte debole, sarà la parte più informata a dover indurre e convincere la parte meno informata a mutare la situazione di default.

Per maggiori info consulta la pagina del Autorità Garante per la Protezione dei Dati Personali

Luca Visconti – Associate

Fonti:

Manuale di diritto alla protezione dei dati personali – la privacy dopo il regolamento UE 2016/679. Maggioli editore 2017

Regolamento UE 679/2016 – GDPR a