Ma una violazione è sempre colpa del Titolare?
Mentre il vecchio approccio del Codice privacy prevedeva un set minimo di misure di sicurezza, ora il GDPR – anche perché è nato per essere tecnologicamente neutro – lascia al Titolare la scelta del migliore approccio per tutelare i propri dati. Scelta ragionevole, anche perché una banca necessita di un approccio diverso rispetto alla bocciofila che conserva gli indirizzi di cinquanta pensionati. Ma se il sistema viene violato, deve necessariamente individuarsi una colpa da parte del Titolare? Secondo questa interessante sentenza della Corte UE, se egli dimostra di avere preso tutte le misure ragionevoli, in rapporto alla natura dei dati trattati, per evitare il problema, l’individuazione della colpa non è automatica, ma spetta al Giudice o all’Autorità di controllo valutare se il comportamento è stato superficiale, inadeguato, oppure se proporzionato alla situazione, con riferimento alla specifica valutazione del rischio. Un ottimo esempio di accountability applicata.
2024-02-05-CURIA-Documenti