Mediante l’adozione del Regolamento Generale sulla Protezione dei dati introdotto con Regolamento UE 2016/679 (GDPR), il legislatore Europeo, mutando completamente impostazione rispetto al passato, propone un articolato scenario normativo in materia di privacy imponendo alle aziende – quali soggetti titolari del trattamento dei dati – di farsi parte diligente nella gestione complessiva del trattamento mediante la predisposizione di misure tecniche e organizzative idonee a garantire un livello di sicurezza dei dati adeguata al rischio insito nell’attività esercitata.
In particolare, è necessario che il titolare implementi la protezione dei dati “by design”, ovvero intrinsecamente in ogni fase del trattamento in modo da garantire che vengano soddisfatti i requisiti del regolamento e in funzione della tutela dei diritti degli interessati, e che l’attività di trattamento venga effettuata sin dal principio, ovvero “by default”, unicamente con riferimento soli dati necessari in relazione alle finalità per cui vengono trattati, mediante l’adozione di misure tecniche e organizzative che offrano garanzie adeguate.
Altro elemento chiave è la valutazione del rischio d’impatti negativi sulle libertà e i diritti degli interessati derivante dal trattamento informatico e tenuto conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi.
Si rileva quindi lo spostamento del controllo in un momento successivo, riducendo se non eliminando il potere “autorizzativo” del Garante che dovrà limitarsi a indicare le misure ulteriori eventualmente da implementare a cura del titolare e potrà, ove necessario, adottare tutte le misure correttive ai sensi dell’art. 58 come ammonimento del titolare o limitazione/divieto a procedere per il trattamento.