Come abbiamo più volte illustrato nei

numeri precedenti, uno dei principi

cardine che hanno ispirato il legisla-

tore comunitario nel delineare l’archi-

tettura del Regolamento 679 del 27

Aprile 2016, relativo alla protezione

delle persone fisiche con riguardo al

trattamento dei dati personali e alla

libera circolazione di tali dati che sarà

applicabile dal prossimo 24 maggio

2018, è quello della c.d. accountabi-

lity che possiamo tradurre in Italiano

con il termine “responsabilizzazione”,

facendo riferimento all’operato del

Titolare del trattamento.

Come si declina il principio

di ‘accountability’

Tale principio è declinato, in partico-

lare, nel testo dell’art. 24 nella parte

della norma in cui è fatto obbligo al

Titolare non solo di mettere in atto

misure tecniche e organizzative ade-

guate per garantire che il trattamento

sia effettuato in conformità con le di-

sposizioni del Regolamento stesso, ma

anche, ed è questo il punto di novità

che rompe con il passato, di essere in

grado di dimostrare che ciò che pre-

cede, vale a dire l’adozione delle mi-

sure di sicurezza, sia in effetti avvenuta.

La portata innovativa della disposizione

appena richiamata è tale da cambiare

del tutto, evolvendolo, il modo in cui in

concreto occorrerà progettare e pia-

nificare l’attuazione delle strategie di

protezione dei dati personali. Questo

spostando l’attenzione, oltre che su di

un momento per così dire sostanzia-

le legato alla selezione ed attuazione

delle misure organizzative e tecniche

adeguate a proteggere i dati, anche sul

momento più ‘formale’ della attuazione

stessa. E quindi definendo nuove mo-

dalità, sinora non richieste, di dimostra-

zione, ovvero prova, dell’adempimento

degli obblighi di sicurezza legalmente

imposti che vanno a configurare sul

Titolare un obbligo di documentazione

efficace, esatta e aggiornata, dell’ado-

zione delle misure previste.

Information Security & Data

Protection

All’interno di questo quadro dovranno

quindi essere documentate le speci-

fiche misure adeguate che dovranno

essere messe in atto dal Titolare e dal

Responsabile del trattamento, quali

indicate dall’art. 32 del Regolamento

dal titolo: Sicurezza del Trattamento.

Questo con riguardo al livello sia qua-

litativo e quantitativo sia di sicurezza e

protezione da applicare sui dati per-

sonali oggetto delle varie operazioni

di trattamento in relazione allo sta-

GDPR, ETHICAL HACKING

E SICUREZZA DELLE INFORMAZIONI

TRA OBBLIGHI DI CONFORMITÀ E PROGRESSO TECNOLOGICO.

94

maggio 2017

Giuseppe Serafini

Avvocato del Foro di Perugia

BSI-ISO/IEC 27001:2013 Lead Auditor;

Master Privacy Officer.

giuseppe.serafini@ordineavvocati.perugia.it

IL PARERE DEL LEGALE

© hafakot - fotolia.com