Guida al GDPR

Un primo riferimento alle misure di sicurezza è contenuto nel disposto dell’art. 22 del GDPR, il quale dispone che il titolare del trattamento dei dati personali debba adottare delle misure tecniche e organizzative idonee al fine di assicurare, ed essere poi in grado di dimostrare, che il trattamento dei dati personali è realizzato in modo conforme alla disciplina dettata dal Regolamento stesso. Questa norma è, in particolare, in linea con il principio della responsabilizzazione (c.d. accountability) che sta alla base del nuovo approccio promosso dal Regolamento europeo.

Come già specificato in più occasioni nei vari articoli di approfondimento di questo Speciale sul GDPR, il Regolamento pone fortemente l’accento sulla responsabilizzazione dei titolari e dei responsabili del trattamento, affinché adottino autonomamente una serie di comportamenti che permettano di dimostrare l’adozione di misure idonee al rispetto del Regolamento stesso.

Nei casi in cui un trattamento dei dati personali presenti un rischio probabile ed elevato di causare dei pregiudizi ai diritti e alle libertà degli interessati (ad esempio perché viene posto in essere un controllo di tipo sistematico, per l’elevato numero di soggetti coinvolti o per la natura sensibile dei dati personali trattati), il GDPR stabilisce che i titolari del trattamento debbano realizzare in via preventiva una apposita valutazione dei rischi.

Il GDPR introduce una serie di obblighi, che derivano essenzialmente dal più generale principio di responsabilizzazione (accountability) posto a fondamento della struttura del Regolamento europeo e del rispetto dei principi essenziali in tema di privacy (l’art. 5, co. 2, GDPR, infatti, dopo aver elencato i principi applicabili al trattamento di dati personali, afferma che “Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo – «responsabilizzazione»”).

Un preciso compito del titolare del trattamento dei dati personali sarà dunque quello di effettuare una valutazione preliminare dei rischi che ciascun trattamento che il titolare andrà ad effettuare potrebbe comportare per la protezione dei dati personali.

La disciplina introdotta dal GDPR in materia di protezione dei dati personali si caratterizza per l’attenzione che viene posta sulla responsabilizzazione (“accountability” in inglese) dei titolari e dei responsabili del trattamento dei dati personali.