Art. 1 Principi
1 Al fine di garantire una sicurezza dei dati adeguata, il titolare del trattamento e il responsabile del trattamento definiscono la necessità di protezione dei dati personali e stabiliscono i provvedimenti tecnici e organizzativi adeguati in considerazione del rischio.
2 La necessità di protezione dei dati personali è valutata sulla base dei seguenti criteri:
- a.
- tipo di dati trattati;
- b.
- scopo, tipo, portata e circostanze del trattamento.
3 Il rischio per la personalità o i diritti fondamentali della persona interessata è valutato sulla base dei seguenti criteri:
- a.
- cause del rischio;
- b.
- pericolo sostanziale;
- c.
- provvedimenti adottati o previsti per minimizzare il rischio;
- d.
- probabilità e gravità di una violazione della sicurezza dei dati nonostante i provvedimenti adottati o previsti.
4 Nello stabilire i provvedimenti tecnici e organizzativi si applicano inoltre i seguenti criteri:
- a.
- lo stato della tecnica;
- b.
- le spese di implementazione.
5 La necessità di protezione dei dati personali, il rischio e i provvedimenti tecnici e organizzativi sono verificati durante l'intera durata del trattamento. Se necessario, i provvedimenti sono aggiornati.