Titolare e responsabile devono agire affinché all’interno dell’organizzazione siano presenti regole organizzative e tecniche che, nella normale conduzione dei processi aziendali, limitino i rischi di violazione dei dati personali. Quindi, la privacy by default si declina come l’abitudine di tutti coloro che trattano dati personali a rispettare le regole fissate.

Esempi

Dati trattati con sistemi elettronici. Privacy by default significa avere una politica di test periodici sulla qualità dei dati personali al fine di verificarne l’esattezza.

Dati trattati senza sistemi elettronici. Privacy by default significa avere un archivio ad accesso controllato tramite PIN per particolari categorie di dati personali (per esempio dati riguardanti la salute) e stabilire che il PIN debba essere cambiato obbligatoriamente ogni 30 giorni.

Il Reg. 679/2016 non fissa rigidamente le regole organizzative e tecniche da adottare ma fornisce alcune indicazioni di sicurezza, che sono un sottoinsieme dei più generali meccanismi di sicurezza informatica, per ridurre i rischi.