Mentre l’art. 5(1)(f) GDPR afferma astrattamente che “misure tecniche o organizzative appropriate” devono essere utilizzate per attuare i suddetti obiettivi di protezione della sicurezza, l’Art. 32 GDPR fornisce ulteriori dettagli.

L’art. 32(1), afferma che nel decidere sulle misure appropriate, i titolari del trattamento devono tenere conto “del livello di sviluppoe dei costi di attuazione“, così come “della natura, della portata, del contesto e delle finalità del trattamento“.  In particolare il contesto del trattamento è rilevante qui, poiché si può sostenere che l’attuale panorama delle minacce ne è un aspetto.  Come previsto, il titolare del trattamento deve anche prendere in considerazione “i rischi per i diritti e le libertà delle persone fisiche“.

Quindi il livello di protezione richiesto dipende chiaramente dalla gravità delle possibili conseguenze indesiderabili a cui sono esposti gli interessati e da un modello di minaccia che stima la probabilità di eventi indesiderabili.  La sicurezza è quindi solo un mezzo, non un obiettivo in sé.  Il livello di sicurezza è sufficiente quando i rischi per le persone interessate sono ridotti a un livello accettabile.  La selezione delle misure dipende sia da ciò che il mercato ha da offrire, sia da quanto queste misure siano convenienti.

L’art. 32(1)(d) GDPR afferma il concetto ben accettato che la sicurezza è un processo, non un obiettivo che viene raggiunto una volta.  In particolare, il GDPR richiede “un processo per testare, esaminare e valutare regolarmente l’efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento”.

L’art. 32(2) GDPR fornisce ulteriori dettagli marginali su ciò che gli obiettivi di protezione comportano, elencando “la distruzione accidentale o illegale, la perdita, l’alterazione, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o altrimenti trattati”.

L’articolo 32(3) GDPR suggerisce che “l’adesione a un codice di condotta approvato o a un meccanismo di certificazione approvato può essere usato come elemento per dimostrare il rispetto” del principio di integrità e riservatezza.

L’art. 32(4) GDPR chiarisce che un elemento importante della sicurezza è garantire che i dipendenti agiscano solo su istruzione e secondo le istruzioni del titolare del trattamento.  Questo è necessario per stabilire chiaramente la responsabilità e l’affidabilità.  È anche necessario per garantire il requisito dell’art. 5(1)(f) alla “protezione contro il trattamento non autorizzato o illegale”.

Dall’art. 25 GDPR, ne consegue che tutti i requisiti posti dal GDPR, compresa la sicurezza, devono essere considerati durante tutto il ciclo di vita dell’attività di trattamento.  Il GDPR richiede quindi anche la sicurezza per progettazione e per impostazione predefinita.  La sicurezza deve quindi essere considerata anche all’inizio del ciclo di vita, per esempio attraverso i requisiti utilizzati per una gara d’appalto; e alla fine del ciclo di vita, per esempio quando si migra le operazioni a un nuovo sistema di trattamento e si smantella quello vecchio.

L’art. 30(1)(g) GDPR richiede di elencare specificamente le misure disicurezza tecniche e organizzative nei registri di trattamento che sono destinati alle autorità di vigilanza.