Articolo pubblicato su altalex.
L’European Data Protection Board fornisce un indirizzo generale sull’obbligo di protezione dei dati previsto dall’articolo 25 GDPR
In un mondo sempre più digitale, l’adesione ai principi di data protection by design e by default gioca un ruolo cruciale nel promuovere la privacy e la protezione dei dati nella società. È quindi essenziale che i Titolari del trattamento (di seguito “Titolari”) considerino attentamente questa responsabilità e tengano presente questi principi allorquando mettano in atto gli obblighi del gdpr durante la progettazione e l’elaborazione di operazioni di trattamento.
Le linee guida in commento forniscono una guida generale sull’obbligo di protezione dei dati fin dalla progettazione e per impostazione predefinita di cui all’articolo 25 del Regolamento Europeo 679/2016 (di seguito “gdpr”) e rappresentano uno strumento molto utile per comprendere nel dettaglio come un Titolare debba mettere in pratica i principi enucleati nell’art. 25 gdpr.
Di particolare interesse è il ruolo riconosciuto ai Responsabili esterni del trattamento ex art. 28 gdpr (di seguito “Responsabili del trattamento”) nel rispettare i principi del trattamento oltre che le garanzie dell’interessato e l’invito rivolto ai Titolari di verificarne continuamente l’operato nonché l’incoraggiamento rivolto a questi ultimi di coinvolgere attivamente il responsabile della protezione dei dati (DPO) se nominato, nell’intero ciclo di vita del trattamento.
1. Data protection by design. L’obbligo dei Titolari di mettere in atto misure tecniche ed organizzative adeguate
Secondo il dettato normativo del primo comma dell’art. 25 gdpr, il Titolare mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e ad integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
Per adeguatezza si intende che le misure e le garanzie necessarie dovrebbero essere adatte a raggiungere lo scopo previsto e cioè attuare i principi di protezione dei dati in modo efficace. Il requisito dell’adeguatezza è quindi strettamente correlato al requisito dell’efficacia.
Una misura tecnica ed organizzativa adeguata può essere intesa in senso ampio, dall’uso di soluzioni tecniche avanzate alla formazione di base del personale. Esempi che possono essere adatti, a seconda del contesto e dei rischi associati al trattamento in questione, includono la pseudonimizzazione dei dati personali[1]; la memorizzazione dei dati personali disponibili in un formato strutturato, comunemente leggibile da un computer; la possibilità per gli interessati di intervenire nel trattamento; fornire informazioni sulla memorizzazione di dati personali; avere sistemi di rilevamento malware; curare la formazione dei dipendenti sulla “cyber hygiene[2]” di base; stabilire sistemi di gestione della privacy e della sicurezza delle informazioni, obbligare contrattualmente i responsabili del trattamento ad attuare pratiche specifiche di minimizzazione dei dati, ecc.
Tra gli elementi che il Titolare dovrebbe tenere in considerazione quando stabilisce le misure tecniche ed organizzative di una specifica operazione di trattamento vi sono:
a) lo “stato dell’arte” inteso come obbligo, per i Titolari, di determinare le misure tecniche e organizzative appropriate, tenendo conto degli attuali progressi tecnologici disponibili sul mercato.
Questo implica che i Titolari siano costantemente aggiornati sui progressi tecnologici. Se ne deduce che lo “stato dell’arte” è un concetto dinamico che non può essere definito staticamente in un punto fisso nel tempo, ma dovrebbe essere valutato continuamente nel contesto del progresso tecnologico.
b) I costi di attuazione
Non è richiesto al Titolare di spendere una quantità sproporzionata di risorse quando esistono misure alternative, meno impegnative in termini di risorse, ma efficaci. Tuttavia, il costo di attuazione è un fattore da considerare per implementare la protezione dei dati fin dalla progettazione piuttosto che un motivo per non attuarlo. Pertanto, le misure scelte devono assicurare che le attività di trattamento previste dal Titolare gli consentano di non trattare i dati personali in violazione dei principi, indipendentemente dal costo.
c) La natura, l’ambito di applicazione, il contesto e le finalità del trattamento
I Titolari devono prendere in considerazione l’ambito di applicazione, il contesto e le finalità del trattamento quando determinano le misure necessarie da adottare.
Il concetto di natura può essere inteso come le caratteristiche intrinseche de1 del trattamento (ad es. categorie speciali di dati personali, processi decisionali automatici, rapporti di potere distorti, trattamenti non previsti, difficoltà per l’interessato di esercitare i diritti, ecc).
L’ambito di applicazione si riferisce alla dimensione e al tipo di trattamento.
Il contesto si riferisce alle circostanze del trattamento, che può influenzare le aspettative dell’interessato, mentre lo scopo riguarda le finalità del trattamento.
d) I rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento
Il gdpr adotta un approccio coerente basato sul rischio in molte delle sue disposizioni, agli articoli 24, 25, 32 e 35, al fine di individuare misure tecniche e organizzative adeguate per tutelare gli individui, i loro dati personali in conformità ai requisiti del gdpr. Le risorse da proteggere sono sempre le stesse (le persone, tramite la tutela dei dati personali), a fronte degli stessi rischi (per i diritti degli individui), tenendo conto delle stesse condizioni (natura, ambito, contesto e finalità).
Quando esegue l’analisi dei rischi per la conformità con l’articolo 25, il Titolare deve identificare i rischi per i diritti degli interessati che una violazione dei principi potrebbe presentare e determinarne la probabilità e gravità al fine di attuare misure per mitigare efficacemente i rischi identificati. La valutazione sistematica e approfondita del trattamento è fondamentale quando si effettuano le valutazioni del rischio.
e) L’aspetto del tempo
La protezione dei dati fin dalla progettazione deve essere implementata “al momento di determinare i mezzi del trattamento“, con ciò facendo espresso riferimento al periodo di tempo in cui il Titolare decide come sarà condotto il trattamento, il modo in cui il trattamento avverrà e quali meccanismi verranno utilizzati per condurre tale elaborazione. È nel prendere tali decisioni che il Titolare deve valutare le misure e le garanzie appropriate per attuare efficacemente i principi e i diritti degli interessati nel trattamento e tener conto di elementi quali lo stato dell’arte, i costi di implementazione, la natura, la portata, il contesto, lo scopo ed rischi. Ciò include il tempo necessario per procurarsi e implementare software di elaborazione dati, hardware e servizi.
Una volta avviato il trattamento, il Titolare ha l’obbligo di mantenere la continua ed efficace attuazione dei principi al fine di tutelare i diritti, rimanendo aggiornati sullo stato dell’arte, rivalutando il livello di rischio, ecc. La natura, la portata e il contesto delle operazioni di trattamento, così come il rischio può cambiare nel corso del trattamento, il che significa che il Titolare deve rivalutare le proprie operazioni di trattamento attraverso revisioni e valutazioni periodiche sull’efficacia delle misure e delle garanzie scelte.
L’obbligo di mantenere, rivedere e aggiornare, se necessario, l’operazione di trattamento si applica anche ai sistemi preesistenti. Ciò significa che i sistemi progettati prima dell’entrata in vigore del gdpr devono essere revisionati per garantire l’attuazione delle misure e delle garanzie che attuano i principi e i diritti degli interessati in modo efficace, come delineato dalle linee guida in commento.
2. Data protection by default
Per impostazione predefinita, devono essere trattati solo i dati personali necessari per ogni specifica finalità del trattamento.Titolare dovrebbe fare in modo che sia eseguito per impostazione predefinita solo il trattamento strettamente necessario per il raggiungimento dello scopo lecito stabilito. In questo caso, quest’ultimo dovrebbe fare affidamento sulla valutazione della necessità del trattamento in relazione alle basi giuridiche stabilite all’articolo 6, paragrafo 1 gdpr. Ciò significa che per impostazione predefinita, i Titolari non devono raccogliere più dati del necessario, né conservare i dati per un periodo più lungo del necessario. Il requisito è che la protezione dei dati sia integrata nell’elaborazione per impostazione predefinita.
Il Titolare è tenuto a predeterminare per quali finalità determinate, esplicite e legittime i dati personali sono raccolti e trattati (vd. Art. 5(1)(b), (c), (d), (e) gdpr.) Le misure devono essere appropriate per impostazione predefinita per garantire che siano trattati solo i dati personali necessari per ciascuna specifica finalità del trattamento.
Se il Titolare utilizza software di terze parti o software standard, deve eseguire una valutazione del rischio e assicurarsi che le funzioni che non hanno una base giuridica o non sono compatibili con le finalità di trattamento previste, siano disattivate.
Le stesse considerazioni si applicano alle misure organizzative a supporto delle operazioni di trattamento, che dovrebbero essere progettate per trattare, all’inizio, solo la quantità minima di dati personali necessari per le operazioni specifiche. Ciò dovrebbe essere considerato in particolare quando si assegnano i permessi per l’accesso ai dati al personale con diversi ruoli ed esigenze di accesso.
a) Principio di minimizzazione dei dati
L’articolo 25, paragrafo 2 del gdpr stabilisce che l’obbligo di minimizzazione si applica alla quantità di dati personali raccolti, all’entità del loro trattamento, al periodo di conservazione e alla loro accessibilità.
Sulla quantità dei dati personali raccolti, l’EDPB stabilisce che le scelte di impostazione predefinita compiute dai Titolari, dovrebbero prendere in considerazione i maggiori rischi per i principi di integrità e riservatezza, minimizzazione dei dati e limitazione dell’archiviazione, quando si raccolgono grandi quantità di dati personali dettagliati e tenere in considerazione la riduzione dei rischi che ne deriverebbe raccogliendo quantità minori e / o informazioni meno dettagliate sugli interessati.
b) La portata del trattamento
Le operazioni di trattamento[3]; sui dati personali devono essere limitate a quanto necessario. Molte operazioni di trattamento possono contribuire a raggiungere lo scopo del trattamento. Tuttavia, il fatto che alcuni dati personali sono necessari per raggiungere uno scopo non significa che tutte le operazioni di trattamento possano essere effettuate. I Titolari dovrebbero anche fare attenzione a non estendere i limiti delle “finalità compatibili” dell’articolo 6, paragrafo 4, e tenere presente quale sarà il trattamento entro le ragionevoli aspettative degli interessati.
c) Il periodo di conservazione
Il Titolare deve limitare il periodo di conservazione a quanto necessario allo scopo. Se i dati personali non sono più necessari ai fini del trattamento, dovranno essere cancellati o resi anonimi per impostazione predefinita. La durata del periodo di conservazione dipenderà quindi dalla finalità del trattamento in questione. Questo obbligo è direttamente correlato al principio della limitazione della conservazione di cui all’articolo 5, paragrafo 1, lettera e), e deve essere applicato per impostazione predefinita, vale a dire che il Titolare dovrebbe disporre di procedure automatiche per la cancellazione o l’anonimizzazione dei dati incorporate nel trattamento.
L’anonimizzazione[4] dei dati personali è un’alternativa alla cancellazione, a condizione che tutti gli elementi rilevanti siano presi in considerazione e che la probabilità e la gravità del rischio, compreso il rischio di reidentificazione, siano regolarmente valutate.[5]
d) L’accessibilità dei dati personali
Il Titolare dovrebbe limitare l’accesso ai dati personali sulla base di una valutazione di necessità e inoltre assicurarsi che i dati personali siano effettivamente accessibili a chi ne ha bisogno quando necessario, ad esempio in situazioni critiche. I controlli di accesso dovrebbero essere osservati per l’intero flusso di dati durante l’elaborazione.
L’articolo 25, paragrafo 2, stabilisce inoltre che i dati personali non devono essere resi accessibili, senza l’intervento dell’individuo, a un numero indefinito di persone fisiche. Il Titolare deve limitare per impostazione predefinita l’accessibilità ai dati e dare agli interessati la possibilità di intervenire prima che i dati che li riguardano vengano pubblicati o resi altrimenti disponibili a un numero indefinito di persone fisiche.
3. Applicazione dei principi di protezione dei dati nel trattamento dei dati personali utilizzando la protezione dei dati per progettazione e per impostazione predefinita
Per ottenere la migliore applicazione dei principi di cui all’art. 25 gdpr, i Titolari devono implementare i principi delineati nell’articolo 5 e nel considerando 39 del gdpr. Questi principi includono: trasparenza, liceità, correttezza, limitazione delle finalità, minimizzazione dei dati, accuratezza, limitazione della conservazione, integrità e riservatezza e responsabilizzazione.
3.1. Trasparenza[6]
Il Titolare deve esplicitare chiaramente all’interessato le modalità con le quali raccoglierà, utilizzerà e condividerà i dati personali. Trasparenza significa consentire agli interessati di comprendere e, se necessario, esercitare i propri diritti di cui agli articoli da 15 a 22. Il principio è ricompreso negli articoli 12, 13, 14 e 34.
Elementi chiave della progettazione e impostazione predefinita per il principio di trasparenza, sono la chiarezza, intesa come un linguaggio chiaro e semplice, conciso e intelligibile; l’accessibilità facendo in modo che le informazioni siano facilmente accessibili per l’interessato e la multicanalità utilizzando diversi canali e media per veicolare le informazioni, non solo sotto forma testuale, per aumentare la probabilità che le informazioni raggiungano effettivamente l’interessato.
3.2. Liceità
Il Titolare deve individuare una valida base giuridica per il trattamento dei dati personali. Le misure e le garanzie apprestate dovrebbero essere tese a garantire che l’intero ciclo di vita del trattamento sia in linea con i pertinenti motivi legali del trattamento.
Elementi chiave per l’applicazione del principio di liceità possono essere la rilevanza, che si sostanzia nell’applicare la corretta base giuridica a ciascun trattamento; la necessità poiché il trattamento deve essere necessario e non sottoposto a condizione affinché lo scopo sia lecito e, soprattutto la revoca del consenso. Laddove il consenso è la base giuridica, il trattamento dovrebbe facilitare la revoca del consenso. Il consenso è revocato con la stessa facilità con cui è accordato. In caso contrario, il meccanismo del consenso utilizzato dal Titolare non è conforme al gdpr[7].
3.3. Correttezza
La correttezza è un principio generale che richiede che i dati personali non debbano essere trattati in modo ingiustificatamente dannoso, illegittimamente discriminatorio, inaspettato o fuorviante per l’interessato. Misure e garanzie che attuano il principio di correttezza supportano anche i diritti e le libertà degli interessati, in particolare il diritto all’informazione (trasparenza), il diritto di intervento (accesso, cancellazione, portabilità dei dati, rettifica) e il diritto di limitare il trattamento di non essere soggetto a processi decisionali individuali automatizzati e di non discriminazione degli interessati in tali processi).
Particolare attenzione andrebbe dedicata agli algoritmi per valutare periodicamente se gli algoritmi funzionano in linea con gli scopi e calibrarli per mitigare i pregiudizi e garantire l’equità nell’elaborazione. Gli interessati dovrebbero essere informati sul funzionamento del trattamento dei dati personali sulla base di algoritmi che analizzano o fanno previsioni su di loro, come prestazioni lavorative, situazione economica, salute, preferenze personali, affidabilità o comportamento, posizione o movimenti[8].
3.4. Limitazione delle finalità
Il Titolare deve raccogliere i dati per finalità determinate, esplicite e legittime e non elaborare ulteriormente i dati in modo incompatibile con le finalità per le quali sono stati raccolti[9]. La progettazione del trattamento dovrebbe pertanto essere modellata su quanto è necessario per raggiungere questi scopi. Se deve aver luogo un ulteriore trattamento, il Titolare deve prima assicurarsi che tale trattamento abbia finalità compatibili con quelle originali e progettare tale trattamento di conseguenza. La compatibilità o meno di un nuovo scopo è valutata in base ai criteri di cui all’articolo 6, paragrafo 4.
Elementi chiave di progettazione e impostazione predefinita per la limitazione delle finalità possono includere la predeterminazione, determinando gli scopi legittimi prima della progettazione del trattamento e la limitazione al riutilizzo dei dati personali, adottando misure tecniche, inclusi hashing e crittografia, per limitare la possibilità che ciò si verifichi.
3.5. Principio di minimizzazione dei dati
Devono essere trattati solo i dati personali adeguati, pertinenti e limitati a quanto necessario allo scopo[10].
I Titolari dovrebbero prima di tutto determinare se hanno bisogno di trattare dati personali per i loro scopi rilevanti. Il Titolare dovrebbe verificare se i medesimi scopi possono essere raggiunti elaborando un numero inferiore di dati personali, o utilizzando dati meno dettagliati o aggregati o senza trattarne affatto[11].
La minimizzazione può anche riferirsi al grado di identificazione. Se lo scopo del trattamento non richiedere che il gruppo di dati si riferisca a un individuo identificato o identificabile (come nelle statistiche), ma il trattamento iniziale si (ad esempio prima dell’aggregazione dei dati), allora il Titolare deve eliminare o rendere anonimi i dati personali non appena l’identificazione non è più necessaria.
Oppure, se è necessaria un’identificazione continua per altre attività di trattamento, i dati personali dovrebbero essere pseudonimizzati per mitigare i rischi per i dati diritti dei soggetti.
3.6. Accuratezza
I dati personali devono essere accurati e aggiornati e deve essere intrapresa ogni ragionevole misura per garantire che i dati personali che risultino inesatti, rispetto alle finalità per le quali sono trattati, siano cancellati o rettificati senza indugio[12].
I requisiti dovrebbero essere verificati in relazione ai rischi e alle conseguenze dell’uso concreto dei dati. Dati personali imprecisi potrebbero rappresentare un rischio per i diritti e le libertà degli interessati, ad esempio nel caso di una diagnosi errata che può portare al trattamento ingiusto di un protocollo sanitario.
3.7. Limitazione della conservazione
Il Titolare deve garantire che i dati personali siano conservati in una forma che consenta l’identificazione degli interessati per un tempo non superiore a quello necessario alle finalità per le quali i dati personali sono trattati. È fondamentale che il Titolare sappia esattamente quali dati personali vengono elaborati dall’azienda e perché. La finalità del trattamento è il criterio principale per decidere la durata della conservazione dei dati personali trattati.
Le misure tecniche ed organizzative e le garanzie attuano il principio di limitazione della conservazione. Integrano, altresì, i diritti e libertà degli interessati, in particolare il diritto alla cancellazione e il diritto di opposizione.
3.8. Integrità e riservatezza
La sicurezza dei dati personali richiede misure adeguate volte a prevenire e gestire i data breach; per garantire la corretta esecuzione dei compiti legati al trattamento e il rispetto degli altri principi e per facilitare l’esercizio efficace dei diritti dell’interessato. Il considerando 78 suggerisce al Titolari di verificare continuamente se sta utilizzando i mezzi appropriati di trattamento e se le misure scelte contrastino effettivamente le vulnerabilità esistenti.
Inoltre, i Titolari dovrebbero condurre revisioni periodiche delle misure di sicurezza delle informazioni a protezione dei dati personali e la procedura per la gestione dei data breach.
Gli elementi chiave di progettazione e integrità e riservatezza predefinite possono includere l’analisi dei rischi rispetto alla sicurezza dei dati personali; la gestione del controllo accessi per consentire solo al personale autorizzato di avere accesso ai dati personali in ragione del proprio lavoro.
I dati personali e i backup / registri dovrebbero essere pseudonimizzati come misura di sicurezza per ridurre al minimo i rischi di potenziali violazioni dei dati, ad esempio utilizzando l’hashing o la crittografia.
3.9. Responsabilizzazione[13]
Il principio di responsabilizzazione afferma che il Titolare è responsabile per il trattamento dei dati e deve poter dimostrare il rispetto di tutti i suddetti principi.
Il Titolare deve essere in grado di dimostrare gli effetti delle misure adottate per proteggere i diritti degli interessati e i motivi per i quali le misure sono ritenute adeguate ed efficaci. Ad esempio, dimostrando perché la misura è appropriata per garantire il principio della limitazione della conservazione dei dati in modo efficace.
Per poter trattare i dati personali in modo responsabile, il Titolare dovrebbe essere a conoscenza e avere la capacità di implementare la protezione dei dati.
Ciò implica che il Titolare comprenda i propri obblighi di protezione del gdpr e sia in grado di adempiere a tali obblighi.
4. Conclusioni
L’EDPB nelle linee guida in commento coinvolge, con le proprie raccomandazioni, tutti gli “attori” del trattamento, compresi i Responsabili del trattamento ed i produttori di servizi i quali, sebbene non menzionati direttamente nell’articolo 25 gdpr, sono riconosciuti come elementi chiave per l’applicazione dei principi di privacy by design e by default, ai quali in particolare, viene richiesto di progettare o fornire soluzioni che integrino la protezione dei dati nel trattamento, quando elaborano dati per conto dei Titolari.
Gli sforzi profusi da queste figure, a diversi livelli coinvolte nel trattamento, dovrebbero avere come obiettivo principale quello della efficacia dei principi sopra menzionati e della tutela dei diritti degli interessati.
Quando attuano i principi di cui all’art. 25, i Titolari dovrebbero pensare alla protezione dei dati sin dalle fasi iniziali della progettazione di un trattamento anche prima del momento della determinazione delle modalità. Se è stato nominato un responsabile della protezione dei dati (DPO), l’EDPB incoraggia l’attivo coinvolgimento di quest’ultimo nell’intero ciclo di vita del trattamento.
Ai produttori e ai Responsabili del trattamento viene richiesto di supportare il Titolare di rispettare gli obblighi dell’articolo 25. Quest’ultimo, d’altra parte, non dovrebbe scegliere produttori o responsabili del trattamento che non presentino garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate, perché i Titolari saranno comunque ritenuti responsabili per la mancata attuazione dei summenzionati principi di cui all’art. 25 gdpr.
Produttori e Responsabili del trattamento dovrebbero svolgere un ruolo attivo nel garantire il raggiungimento ed il mantenimento nel corso del tempo di misure tecniche ed organizzative adeguate allo “stato dell’arte”, e comunicare ai Titolari le eventuali modifiche allo “stato dell’arte” che possano influenzare l’efficacia delle misure che hanno in atto. I Titolari dovrebbero includere tale requisito come clausola contrattuale per assicurarsi di rimanere aggiornati.
Tali indicazioni valgono anche per i sistemi divenuti obsoleti. Se questi ultimi non sono già conformi ai principi di data protection by design e by default e non è possibile apportare modifiche per conformarsi a tali obblighi, se ne deve dedurre che il sistema obsoleto semplicemente non soddisfa gli obblighi del gdpr e non può essere utilizzato per il trattamento dei dati personali[14].
NOTE
[1] Ai sensi dell’art. 4 n. 5 del gdpr si intende per pseudonimizzazione “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”. cfr. anche C26, C28 e C29.
[2] Ossia i principi da seguire quotidianamente per minimizzare i rischi derivanti dall’utilizzo di sistemi informatici.
[3] Ai sensi dell’art. 4 n. 2 gdpr “si intende per trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.
[4] Article 29 Working Party. “Opinion 05/2014 on Anonymisation Techniques”. WP 216, 10 April 2014.
[5] Vedi anche l’art. 4(1) gdpr, C 26 gdpr, Article 29 Working Party “Opinion 05/2014 on Anonymisation Techniques”.
[6] Article 29 Working Party. “Guidelines on transparency under Regulation 2016/679”. WP 260 rev.01, 11 April 2018.
[7] See Guidelines 05/2020 on consent under Regulation 2016/679, p. 24.
[8] Vedi C 71 gdpr.
[9] Art. 5(1)(b) gdpr.
[10] Art. 5(1)(c) gdpr.
11] C 39: “…I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi”.
[12] Art. 5(1)(d) gdpr.
[13] C 74 “È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche”.
[14] Windows xp e 7 ad esempio sono da considerarsi sistemi operativi obsoleti poiché non ricevono più assistenza tecnica né aggiornamenti di sicurezza. Non possono, di conseguenza, essere utilizzati per trattare dati personali.