La nuova disciplina sulla privacy - 5. Valutazione del rischio e misure di sicurezza

Il titolare del trattamento deve dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento, adottando modalità di protezione e misure organizzative che limitino i rischi di violazione dei diritti e delle libertà delle persone. Il regolamento ha introdotto, a tale fine, i criteri della privacy by design e della privacy by default, in virtù dei quali il titolare del trattamento deve predisporre una valutazione d’impatto ogni volta che viene avviato un progetto che prevede un trattamento di dati. La valutazione d’impatto può riguardare un singolo trattamento o più trattamenti che presentano analogie; può essere effettuata dal titolare del trattamento o da altri soggetti interni o esterni all’organizzazione. In tutti i casi, indipendentemente da chi ha condotto la DPIA, la responsabilità della valutazione resta in capo al titolare del trattamento. Con il GDPR, non si parla più di misure “minime” o “idonee” di sicurezza, bensì di misure “adeguate”. Le misure di sicurezza sono suddivise in due sottocategorie, a seconda che si utilizzino documenti o fascicoli analogici oppure che tali dati vengano gestiti digitalmente. Il  titolare del trattamento è sempre tenuto a notificare all’autorità di controllo le violazioni di dati personali (data breach) di cui venga a conoscenza, entro 72 ore o comunque senza ingiustificato ritardo, se ritiene che da tale violazione derivino rischi per i diritti e le libertà degli interessati.