Il principio della protezione dei dati per impostazione predefinita (o “data protection by default”) richiede che il titolare del trattamento attui misure appropriate per garantire che solo i dati personali necessari per le finalità dichiarate siano trattati per impostazione predefinita (art. 25.2, GDPR). Questo obbligo si applica alla quantità di dati personali raccolti, all’entità del trattamento, al periodo di archiviazione e all’accessibilità.