1 Al fine di garantire una sicurezza dei dati adeguata, il titolare del trattamento e il responsabile del trattamento definiscono la necessità di protezione dei dati personali e stabiliscono i provvedimenti tecnici e organizzativi adeguati in considerazione del rischio.
2 La necessità di protezione dei dati personali è valutata sulla base dei seguenti criteri:
- tipo di dati trattati;
- scopo, tipo, portata e circostanze del trattamento.
3 Il rischio per la personalità o i diritti fondamentali della persona interessata è valutato sulla base dei seguenti criteri:
- cause del rischio;
- pericolo sostanziale;
- provvedimenti adottati o previsti per minimizzare il rischio;
- probabilità e gravità di una violazione della sicurezza dei dati nonostante i provvedimenti adottati o previsti.
4 Nello stabilire i provvedimenti tecnici e organizzativi si applicano inoltre i seguenti criteri:
- lo stato della tecnica;
- le spese di implementazione.
5 La necessità di protezione dei dati personali, il rischio e i provvedimenti tecnici e organizzativi sono verificati durante l’intera durata del trattamento. Se necessario, i provvedimenti sono aggiornati.
