fbpx
Skip links

Entra a far parte del Cluster ICT del Friuli Venezia Giulia. Scopri come.

Chiamaci

0432 1698013

Scrivici

info@ditedi.it

Raggiungici

Indicazioni stradali

Garante Privacy: niente scuse di budget sulla sicurezza

Autore: Pubblicato il: Pubblicato in: News
Approfondimento a cura di Stefano Gazzella, DPO DITEDI

Sicurezza nel GDPR: un obbligo centrale

La sicurezza delle attività di trattamento è uno dei pilastri del GDPR. È richiamata sia dal principio di integrità e riservatezza (art. 5, par. 1, lett. f), sia dalle misure operative previste dall’art. 32.
Il regolamento richiede che titolari e responsabili adottino misure adeguate per proteggere i dati personali. Per farlo, devono svolgere una valutazione dei rischi basata su vari elementi: stato dell’arte, costi di attuazione, natura e finalità del trattamento, contesto e probabilità dei rischi.

Un obbligo permanente per titolari e responsabili

Il GDPR impone un obbligo continuo. Titolari e responsabili devono verificare nel tempo che il livello di sicurezza rimanga adeguato.
Il rischio non è stabile: può cambiare con nuovi scenari di minaccia, nuove tecnologie, variazioni interne o esterne.
Per questo motivo, è necessario aggiornare periodicamente le misure di sicurezza e tenere conto dei progressi tecnologici disponibili sul mercato.

Il criterio dei costi: cosa dice il Garante Privacy

Con il provvedimento n. 271 del 29 aprile 2025, il Garante ha chiarito come va interpretato il criterio dei costi.
I costi devono essere valutati caso per caso. Non possono essere usati come scusa per non adottare misure necessarie.
La mancata adozione di misure adeguate – tecniche o organizzative – comporta infatti responsabilità e possibili sanzioni. Questo vale soprattutto in presenza di un data breach.
Se alcune misure risultano troppo onerose, il titolare deve valutare soluzioni alternative, anche riducendo la quantità di dati raccolti o trattati.

L’importanza della progettazione e del riesame continuo

Una buona progettazione è essenziale. Fin dalla fase iniziale, occorre confrontare diverse misure di sicurezza, valutando costi, benefici e rischi. Titolari e responsabili devono considerare le risorse finanziarie e organizzative disponibili, senza però rinunciare alla protezione dei dati personali. Garantire un livello adeguato di sicurezza è un obbligo indeclinabile.
Le misure minime previste dalla legge — come le misure minime di sicurezza ICT dell’AgID per le PA — sono solo un punto di partenza. Se l’analisi dei rischi indica la necessità di misure ulteriori, è obbligatorio adottarle.
La sicurezza, nel GDPR, non ammette deroghe.

Ti potrebbero anche interessare