Panoramica e obbligo principale per i titolari del trattamento
Home » GDPR » Concetti principali » Protezione dei dati per progettazione e per impostazione predefinita » Analisi dell’articolo 25. Protezione dei dati per progettazione » Panoramica e obbligo principale per i titolari del trattamento

L’art. 25 GDPR comprende quanto segue:

Art. 25(1):

Tenendo conto [..], il titolare del trattamento deve, sia al momento della determinazione dei mezzi di trattamento che al momento del trattamento stesso, mettere in atto misure tecniche e organizzative adeguate […] volte ad attuare in modo efficace i principi di protezione dei dati […] e ad integrare nel trattamento le garanzie necessarie […].

L’obbligo principale per i titolari del trattamento di cui all’art. 25(1) GDPR è quindi che essi “devono […..] attuare misure tecniche e organizzative adeguate […] che sono destinate ad attuare i principi di protezione dei dati” (vedi la sezione “Principi fondamentali” nella parte generale di queste Linee guida).

In tutto il GDPR[1], si afferma che l’implementazione di misure tecniche e organizzative è il modo per rispettare i principi di protezione dei dati. Ciò implica che tutto ciò che un titolare del trattamento fa a sostegno dei principi di protezione dei dati deve essere considerato come una misura. Di conseguenza, il concetto di misura deve essere inteso in un senso molto ampio. Ciò significa che non si limita agli artefatti fisici (come i firewall), o azioni specifiche (come la formazione del personale). Piuttosto, deve comprendere anche tutte le considerazioni e decisioni che sono necessarie per determinare i mezzi di trattamento in un modo che sia conforme ai principi e agli obblighi della protezione dei dati.

L’art. 25(1) GDPR afferma anche che queste misure devono essere attuate “in modo efficace“. L’efficienza sarà quindi analizzata di seguito.

Inoltre, l’art. 25(1) afferma che le misure sono attuate “per integrare le garanzie necessarie nel trattamento“. In altre parole, l’attuazione delle misure è il modo per raggiungere l’obiettivo di integrare le garanzie necessarie nel trattamento. Grammaticalmente, questa interpretazione diventa ancora più chiara quando si espande “integrare” nella sua forma completa di “per integrare“. Il “per” esclude l’interpretazione che, oltre all’implementazione delle misure, sia richiesta anche l’integrazione delle garanzie.

Probabilmente, l’essenza dell’Art. 25(1) sta nella formulazione “sia al momento della determinazione dei mezzi per il trattamento che al momento del trattamento stesso“. Ciò significa che l’attuazione delle misure deve avvenire in due periodi di tempo distinti. Implica quindi un modello a fasi per un’attività di trattamento. Ciò è compatibile con l’interpretazione della protezione dei dati fin dalla progettazione, che considera la protezione dei dati in ogni fase di un’attività di trattamento. L’interpretazione giuridica delle fasi del trattamento di cui all’art. 25(1) è fornita nella seguente sottosezione.

 

 

  1. Questo include tra gli altri l’art. 24, 25 e 32 GDPR.

 

Skip to content