Il termine “adeguatezza” e gli altri vocaboli con la medesima radice sono presenti 113 volte nel testo italiano del GDPR.
L’adeguatezza è sinonimo di “proporzionalità” cioè, essere in giusta relazione con l’elemento di raffronto.
L’adeguatezza del GDPR non è una caratteristica presente nel mondo materiale ma è una circostanza desumibile da una valutazione obiettiva di proporzionalità calata nello specifico contesto, tenendo in considerazione determinati criteri [v. considerando (76)]. Questa valutazione va rivisitata periodicamente e ogni volta che mutano gli elementi che sono stati a fondamento del giudizio (art. 24, ult. frase, GDPR).
Il principio di adeguatezza, nel GDPR, è prevalentemente riferito a:
- Le misure di sicurezza tecnico-organizzative
- Le garanzie per la difesa dei diritti e delle libertà fondamentali degli interessati.
Adeguatezza delle misure
In linea di principio l’adeguatezza incorpora un obiettivo che il legislatore intende raggiungere: ad esempio, le misure di sicurezza tecnico-organizzative sono adeguate (proporzionate) al rischio, per conseguire una sicurezza adeguata (idonea). Il legislatore del GDPR esprime questo concetto nella formulazione dell’articolo 32 quando prescrive: «(…) il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio (…)».
A prima vista, la formulazione sembrerebbe ripetitiva (i.e. “misure adeguate per una sicurezza adeguata”); al contrario, essa intende esprimere un preciso concetto: le misure di sicurezza devono essere adeguate di per sé, cioè, essere intrinsecamente idonee a soddisfare determinate esigenze tecnico-organizzative e, inoltre, devono anche assicurare, nel contesto di riferimento, un livello di sicurezza proporzionato al rischio.
Ad esempio, l’adozione di un sistema di autenticazione deve essere adeguato (idoneo), di per sé, ad accertare l’identità dell’utente che richiede l’accesso a un sistema informatico oppure a una piattaforma software ma esso deve anche essere in grado di assicurare (obiettivo) un livello di sicurezza adeguato (proporzionato) al rischio presente nelle specifiche circostanze del caso. Questo secondo profilo, obbliga titolare e responsabile a individuare il livello di robustezza della misura tecnico-organizzativa, che sia confacente con lo scopo di ottenere un livello di sicurezza proporzionato al rischio. La stretta correlazione tra
- le misure di sicurezza idonee e
- il livello di rischio individuato
comporta che, aumentando il rischio, automaticamente deve corrispondere l’innalzamento del tasso di robustezza delle misure di sicurezza che si intende adottare. Misure astrattamente idonee ma non proporzionate all’effettivo rischio non sono conformi al principio di adeguatezza.
Continua…