{"id":2125,"date":"2017-01-09T20:50:16","date_gmt":"2017-01-09T19:50:16","guid":{"rendered":"https:\/\/blog.europrivacy.org\/?p=2125"},"modified":"2017-01-09T20:50:16","modified_gmt":"2017-01-09T19:50:16","slug":"costs-and-security","status":"publish","type":"post","link":"https:\/\/blog.europrivacy.info\/it\/2017\/01\/09\/costs-and-security\/","title":{"rendered":"Costi e sicurezza"},"content":{"rendered":"

Il GDPR consente di commisurare le misure di sicurezza da adottare anche ai costi che comportano: l\u2019art. 32, infatti, recita \u201cTenendo conto dello stato dell’arte e dei costi di attuazione \u2026.\u201d<\/em>. Per la normativa italiana questo \u00e8 un fatto fortemente innovativo.<\/p>\n

Il tener conto dei costi si colloca all\u2019interno del principio generale dell\u2019accountability del Titolare e, dunque, all\u2019interno di una riflessione articolata e documentata sulla sicurezza dei dati personali che significa certamente individuare i rischi che il trattamento comporta, le probabilit\u00e0 di accadimento di questi rischi e i danni che ne possono derivare ma anche descrivere le possibili soluzioni, i costi relativi, gli impatti organizzativi ed i limiti, cio\u00e8 i rischi residui stimati a valle dell\u2019eventuale adozione di una soluzione.<\/p>\n

Solo a questo punto pu\u00f2 e deve essere esplicitata la valutazione relativa alla sostenibilit\u00e0, non solo economica, dei costi in relazione al contesto aziendale.<\/p>\n

E\u2019 importante sottolineare che il costo di una misura di sicurezza non \u00e8 solo riconducibile al prezzo degli strumenti tecnici o dei servizi che costituiscono la misura di sicurezza ma include anche agli oneri organizzativi che sono il presupposto o la condizione di efficacia della sua adozione.<\/p>\n

Per essere efficace, una tecnologia pu\u00f2, infatti, richiedere che una certa organizzazione o una tecnologia complementare siano gi\u00e0 in essere o che certe competenze o ruoli siano presenti nell\u2019organizzazione. In assenza di questi presupposti l\u2019adozione degli strumenti o l\u2019acquisizione di servizi pu\u00f2 risultare del tutto inefficace o anche controproducente.<\/p>\n

Si tratta dunque di una valutazione complessa che \u00e8 affidata interamente alla responsabilit\u00e0 del Titolare e non pu\u00f2 essere altrimenti: \u00e8\u2019 del tutto coerente con lo spirito e la lettera del GDPR che il Titolare, nella sua autonomia e responsabilit\u00e0, decida quali sono i livelli di investimento compatibili con l\u2019organizzazione aziendale e le risorse disponibili e, conseguentemente, se adottare o meno una certa soluzione tecnologica a contrasto di uno specifico rischio.<\/p>\n

Anch\u2019essa, per\u00f2, deve muoversi all\u2019interno di quella logica di accountability che comporta l\u2019obbligo di \u201cessere in grado di dimostrare\u201d <\/em>le ragioni di una scelta. Il costo della misura non \u00e8, cio\u00e8, un pretesto per non attuare una misura ma uno dei parametri in base ai quali il Titolare decide la propria strategia di sicurezza.<\/p>\n

Naturalmente il costo \u00e8 un elemento rilevante: ovviamente l\u2019adozione di una misura di sicurezza non pu\u00f2 rendere insostenibile il trattamento che ci si prefiggeva di proteggere adottandola<\/p>\n

In presenza di argomentazioni opportunamente documentate, in caso di danno a terzi o di ispezione non potr\u00e0 essere imputata al Titolare la mancata adozione della misura ma, nel caso, dovr\u00e0 essere contestata la considerazione sullo stato dell\u2019organizzazione e delle risorse aziendali che ha condotto alla decisione di non adottare quella tecnologia.<\/p>\n

Bisogner\u00e0, cio\u00e8, entrare nel merito del bilancio, degli assetti organizzativi aziendali e della cultura dell\u2019organizzazione.<\/p>\n

Naturalmente, soprattutto se il rischio \u00e8 rilevante ed una determinata misura fosse ritenuta risolutiva sul piano tecnico, riassumere l\u2019atteggiamento aziendale in un \u201cno\u201d sarebbe semplicistico: sar\u00e0 invece opportuno dimostrare di aver avviato un piano per renderla praticabile e, al contempo, di aver adottato, nel frattempo, misure alternative in grado di contenere il rischio.<\/p>","protected":false},"excerpt":{"rendered":"

Il GDPR consente di commisurare le misure di sicurezza da adottare anche ai costi che comportano: l\u2019art. 32, infatti, recita \u201cTenendo conto dello stato dell’arte e dei costi di attuazione \u2026.\u201d. Per la normativa italiana questo \u00e8 un fatto fortemente innovativo. Il tener conto dei costi si colloca all\u2019interno del principio generale dell\u2019accountability del Titolare\u2026 Leggi tutto »<\/a><\/span><\/p>\n","protected":false},"author":17,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5,2,3,8],"tags":[276,26,43],"class_list":["post-2125","post","type-post","status-publish","format-standard","hentry","category-impact-risk-and-measures","category-legal-framework","category-roles-and-liabilities","category-sanctions","tag-liability","tag-security-measure","tag-what-to-do"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2125","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/17"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=2125"}],"version-history":[{"count":1,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2125\/revisions"}],"predecessor-version":[{"id":2126,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2125\/revisions\/2126"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=2125"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=2125"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=2125"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}