Articolo 32

Sicurezza del trattamento

  • Tenendo conto dello stato dell’arte e dei costi di attuazione, nonch├ę della natura, dell’oggetto, del contesto e delle finalit├á del trattamento, come anche del rischio di varia probabilit├á e gravit├á per i diritti e le libert├á delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
    • a) la pseudonimizzazione e la cifratura dei dati personali;
    • b) la capacit├á di assicurare su base permanente la riservatezza, l’integrit├á, la disponibilit├á e la resilienza dei sistemi e dei servizi di trattamento;
    • c) la capacit├á di ripristinare tempestivamente la disponibilit├á e l’accesso dei dati personali in caso di incidente fisico o tecnico;
    • d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
  • Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
  • L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 pu├▓ essere utilizzata come elemento per dimostrare la conformit├á ai requisiti di cui al paragrafo 1 del presente articolo.
  • Il titolare del trattamento e il responsabile del trattamento fanno s├Č che chiunque agisca sotto la loro autorit├á e abbia accesso a dati personali non tratti tali dati se non ├Ę istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.