Il GDPR consente di commisurare le misure di sicurezza da adottare anche ai costi che comportano: l’art. 32, infatti, recita “Tenendo conto dello stato dell’arte e dei costi di attuazione ….”. Per la normativa italiana questo è un fatto fortemente innovativo.
Il tener conto dei costi si colloca all’interno del principio generale dell’accountability del Titolare e, dunque, all’interno di una riflessione articolata e documentata sulla sicurezza dei dati personali che significa certamente individuare i rischi che il trattamento comporta, le probabilità di accadimento di questi rischi e i danni che ne possono derivare ma anche descrivere le possibili soluzioni, i costi relativi, gli impatti organizzativi ed i limiti, cioè i rischi residui stimati a valle dell’eventuale adozione di una soluzione.
Solo a questo punto può e deve essere esplicitata la valutazione relativa alla sostenibilità, non solo economica, dei costi in relazione al contesto aziendale.
E’ importante sottolineare che il costo di una misura di sicurezza non è solo riconducibile al prezzo degli strumenti tecnici o dei servizi che costituiscono la misura di sicurezza ma include anche agli oneri organizzativi che sono il presupposto o la condizione di efficacia della sua adozione.
Per essere efficace, una tecnologia può, infatti, richiedere che una certa organizzazione o una tecnologia complementare siano già in essere o che certe competenze o ruoli siano presenti nell’organizzazione. In assenza di questi presupposti l’adozione degli strumenti o l’acquisizione di servizi può risultare del tutto inefficace o anche controproducente.
Si tratta dunque di una valutazione complessa che è affidata interamente alla responsabilità del Titolare e non può essere altrimenti: è’ del tutto coerente con lo spirito e la lettera del GDPR che il Titolare, nella sua autonomia e responsabilità, decida quali sono i livelli di investimento compatibili con l’organizzazione aziendale e le risorse disponibili e, conseguentemente, se adottare o meno una certa soluzione tecnologica a contrasto di uno specifico rischio.
Anch’essa, però, deve muoversi all’interno di quella logica di accountability che comporta l’obbligo di “essere in grado di dimostrare” le ragioni di una scelta. Il costo della misura non è, cioè, un pretesto per non attuare una misura ma uno dei parametri in base ai quali il Titolare decide la propria strategia di sicurezza.
Naturalmente il costo è un elemento rilevante: ovviamente l’adozione di una misura di sicurezza non può rendere insostenibile il trattamento che ci si prefiggeva di proteggere adottandola
In presenza di argomentazioni opportunamente documentate, in caso di danno a terzi o di ispezione non potrà essere imputata al Titolare la mancata adozione della misura ma, nel caso, dovrà essere contestata la considerazione sullo stato dell’organizzazione e delle risorse aziendali che ha condotto alla decisione di non adottare quella tecnologia.
Bisognerà, cioè, entrare nel merito del bilancio, degli assetti organizzativi aziendali e della cultura dell’organizzazione.
Naturalmente, soprattutto se il rischio è rilevante ed una determinata misura fosse ritenuta risolutiva sul piano tecnico, riassumere l’atteggiamento aziendale in un “no” sarebbe semplicistico: sarà invece opportuno dimostrare di aver avviato un piano per renderla praticabile e, al contempo, di aver adottato, nel frattempo, misure alternative in grado di contenere il rischio.