1. Il titolare (ed il responsabile, se presente) mette in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
2. Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
4. Il titolare (ed il responsabile, se presente) fa sì che chiunque agisca sotto la sua autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare.
Ai sensi dell’articolo 35 del Regolamento si impone una valutazione di impatto sin dal momento della progettazione del processo di raccolta e di trattamento dei dati. In particolare, la valutazione di impatto deve essere effettuata, prima del trattamento, con riferimento ad operazioni che comportano l’utilizzo di nuove tecnologie, che mirano al trattamento di una notevole quantità di dati e che potrebbero incidere su un vasto numero di interessati. Ancora, la valutazione di impatto deve essere fatta quando i dati sono trattati per assumere decisioni riguardanti persone fisiche, basata sulla profilazione. Inoltre, la valutazione deve essere promossa quando la raccolta è effettuata per la sorveglianza di zone accessibili al pubblico su larga scala.