Bud P. Bruegger (ULD)
| Ringraziamenti: L’autore ringrazia il contributo di Johann Čas e Walter Peissl (entrambi OEAW) che hanno scritto un’analisi di questo principio come input alla descrizione qui presentata. |
Di seguito si discute il principio di responsabilità che è definito nell’art. 5(2) GDPR.
La responsabilità in sintesi: La responsabilità consiste in due requisiti per i titolari del trattamento:
La conformità si ottiene implementando misure tecniche e organizzative che sono adeguate rispetto ai rischi per i diritti e le libertà degli interessati, corrispondono allo stato della tecnologia e sono economicamente efficaci. Ogni descrizione dei principi ha fornito esempi di tali misure tecniche e organizzative. Per un’applicazione sistematica di queste misure, i titolari del trattamento possono creare politiche di protezione dei dati. I codici di condotta approvati, dove disponibili, sono simili, ma sono pre-approvati e di solito si rivolgono a un intero settore. La conformità non è uno stato che viene raggiunto una volta per tutte, ma un processo continuo che abbraccia l’intero ciclo di vita di un’attività di trattamento. La dimostrazione della conformità si ottiene principalmente attraverso la documentazione (si veda la sezione Documentazione della elaborazionein “Strumenti e azioni principali”). La documentazione dovrebbe essere continua come il processo di conformità. Ogni misura attuata, comprese le considerazioni e le decisioni rilevanti per la protezione dei dati, dovrebbe essere documentata. Il GDPR richiede due documenti formali come parte della dimostrazione di conformità nei confronti delle autorità di controllo: il registro del trattamento (vedi Documentazione del trattamentoper i dettagli) e, dove i rischi sono probabilmente elevati, una valutazione d’impatto sulla protezione dei dati (vedi la sezione con lo stesso nome in “Strumenti e azioni principali” nella Parte IIper i dettagli). La certificazione può supportare la dimostrazione della conformità. |