05. I PRINCIPI DI “PRIVACY BY DESIGN”, “LOYALTY” E “TRANSPARENCY” NELL’ADPPA > IL PRINCIPIO DI “PRIVACY BY DESIGN” In una certa prospettiva, il principio di “ privacy by design ” articolato dalla section 103 dell’ADPPA sembra costituire – se paragonato con l’identico principio di cui all’articolo 25 del GDPR (rubricato “Protezione dei dati fin dalla progettazione e protezione per imposta- zione predefinita”) – una sorta di “commistione” di diversi istituti previsti dal medesimo GDPR. Difatti, l’ADPPA introduce l’obbligo per i titolari del trattamento ( covered entities ) e per i responsabili del trattamento (service providers) di “stabilire, implementare e mante- nere politiche, pratiche e procedure ragionevoli riguardo alla raccolta, trattamento e tra- sferimento dei dati” oggetto della normativa federale. Tale prescrizione riecheggia quanto l’articolo 24, comma 2, del GDPR prescrive – “se proporzionato” – ad ogni titolare del trattamento di attuare “politiche adeguate in materia di protezione dei dati”. Più in particolare, poi, l’attuazione da parte di titolari e responsabili del trattamento USA del principio di privacy by design implica che le “politiche, pratiche e procedure”: 1. considerino le leggi, le norme o i regolamenti federali relativi ai dati raccolti, trattati o trasferiti; 2. identifichino, valutino e mitighino i rischi per la privacy relativi a persone di età infe- riore ai 17 anni, se applicabile; 3. riducano i rischi per la privacy relativi ai prodotti e ai servizi del titolare o del responsa- bile, compresi la loro progettazione, sviluppo e implementazione (in tale prospettiva la progettazione di prodotti e servizi sembra richiamata dal legislatore USA proprio ai fini della incorporazione di misure di mitigazione dei rischi); l’obbligo di ridurre il rischio copre anche i cc.dd. rischi sostanziali per la privacy [si ricordi che ai sensi dell’articolo
35
Made with FlippingBook Online newsletter maker