Uno degli obblighi che il Regolamento n. 679/2016 (GDPR) impone ai titolari del trattamento è quello di implementare misure tecniche e organizzative per proteggere i dati personali trattati da possibili violazioni (data breach), come ad esempio dall’accesso non autorizzato o da un trattamento illecito, dalla distruzione di dati personali, dalla perdita, dalla diffusione dei dati e da altre situazioni che possono incidere negativamente sui diritti e le libertà degli interessati (i soggetti cui i dati personali trattati si riferiscono).
Adeguate misure di sicurezza consentono di assicurare integrità, disponibilità e riservatezza ai dati personali, ossia garantire il rispetto dei principi cardine del Regolamento n. 679. Anche per tale motivo, l’Autorità ispettiva, quando si verifica un data breach o più in generale in caso di ispezione, indaga, in prima istanza, sulle misure di sicurezza approntate dal titolare del trattamento per verificarne l’adeguatezza rispetto ai trattamenti che il titolare del trattamento stesso compie.
Ciascun titolare del trattamento è dunque responsabile nell’assicurare la giusta protezione ai dati che gli interessati gli affidano in tutto il ciclo del trattamento.
Anche la conservazione dei dati personali è un trattamento di dati personali in base alla definizione che di “trattamento” viene fornita all’art. 4 punto 2 del GDPR, mentre fruire di un sistema di back up dei dati è una misura di sicurezza, tuttavia esternalizzare la conservazione dei dati e del sistema di back up è una scelta del titolare del trattamento, pertanto, compete allo stesso titolare assicurarsi che il fornitore da lui individuato disponga dell’esperienza, della capacità organizzativa e delle risorse necessarie per garantire adeguata protezione ai dati trattati per suo conto da terzi.
Il titolare del trattamento è tenuto inoltre a verificare se, nell’ambito dell’affidamento in outsourcing del servizio di conservazione e ...