Come abbiamo più volte illustrato nei
numeri precedenti, uno dei principi
cardine che hanno ispirato il legisla-
tore comunitario nel delineare l’archi-
tettura del Regolamento 679 del 27
Aprile 2016, relativo alla protezione
delle persone fisiche con riguardo al
trattamento dei dati personali e alla
libera circolazione di tali dati che sarà
applicabile dal prossimo 24 maggio
2018, è quello della c.d. accountabi-
lity che possiamo tradurre in Italiano
con il termine “responsabilizzazione”,
facendo riferimento all’operato del
Titolare del trattamento.
Come si declina il principio
di ‘accountability’
Tale principio è declinato, in partico-
lare, nel testo dell’art. 24 nella parte
della norma in cui è fatto obbligo al
Titolare non solo di mettere in atto
misure tecniche e organizzative ade-
guate per garantire che il trattamento
sia effettuato in conformità con le di-
sposizioni del Regolamento stesso, ma
anche, ed è questo il punto di novità
che rompe con il passato, di essere in
grado di dimostrare che ciò che pre-
cede, vale a dire l’adozione delle mi-
sure di sicurezza, sia in effetti avvenuta.
La portata innovativa della disposizione
appena richiamata è tale da cambiare
del tutto, evolvendolo, il modo in cui in
concreto occorrerà progettare e pia-
nificare l’attuazione delle strategie di
protezione dei dati personali. Questo
spostando l’attenzione, oltre che su di
un momento per così dire sostanzia-
le legato alla selezione ed attuazione
delle misure organizzative e tecniche
adeguate a proteggere i dati, anche sul
momento più ‘formale’ della attuazione
stessa. E quindi definendo nuove mo-
dalità, sinora non richieste, di dimostra-
zione, ovvero prova, dell’adempimento
degli obblighi di sicurezza legalmente
imposti che vanno a configurare sul
Titolare un obbligo di documentazione
efficace, esatta e aggiornata, dell’ado-
zione delle misure previste.
Information Security & Data
Protection
All’interno di questo quadro dovranno
quindi essere documentate le speci-
fiche misure adeguate che dovranno
essere messe in atto dal Titolare e dal
Responsabile del trattamento, quali
indicate dall’art. 32 del Regolamento
dal titolo: Sicurezza del Trattamento.
Questo con riguardo al livello sia qua-
litativo e quantitativo sia di sicurezza e
protezione da applicare sui dati per-
sonali oggetto delle varie operazioni
di trattamento in relazione allo sta-
GDPR, ETHICAL HACKING
E SICUREZZA DELLE INFORMAZIONI
TRA OBBLIGHI DI CONFORMITÀ E PROGRESSO TECNOLOGICO.
94
maggio 2017
Giuseppe Serafini
Avvocato del Foro di Perugia
BSI-ISO/IEC 27001:2013 Lead Auditor;
Master Privacy Officer.
giuseppe.serafini@ordineavvocati.perugia.itIL PARERE DEL LEGALE
© hafakot - fotolia.com