Articolo 25

Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita

  • Tenendo conto dello stato dell’arte e dei costi di attuazione, nonch├ę della natura, dell’ambito di applicazione, del contesto e delle finalit├á del trattamento, come anche dei rischi aventi probabilit├á e gravit├á diverse per i diritti e le libert├á delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
  • Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalit├á del trattamento. Tale obbligo vale per la quantit├á dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilit├á. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.
  • Un meccanismo di certificazione approvato ai sensi dell’articolo 42 pu├▓ essere utilizzato come elemento per dimostrare la conformit├á ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.