Le misure di sicurezza minime non sono piu' indicate per legge. Variano caso per caso.

Come sapere quali sono i casi ? Dipende dall'analisi del rischio.

E' obbligatoria se:

• l'ente e' una pubblica amministrazione, oppure
• vengono trattati dati in larga scala, oppure
• dati particolari (cioe' sanitari, finanziari, politici, religiosi, sessuali).

Non si confonda l'obbligo di dpo con piu' di 250 dipendenti

Per realizzarla si puo' usare il software della CNIL, molto completo. Sottostimato e' invece quello dell'AEPD, il Garante spagnolo. Ico e' l'unica ad aver previsto un modello semplificatissimo, ma dopo la Brexit è meno utile conoscerlo.

Il GDPR indica chiarissimamente i numerosi punti da controllare.

Tuttavia alcuni rimandano a teorie sulla gestione dei rischi sviluppate dall'Enisa. La versione della CNIL semplifica molto.

L'indice di rischio non e' calcolato sulla media di tutti i trattamenti, ma su quello piu' alto per il rischio ipotetico maggiore.

L'indice, di fatto, oscilla sempre tra medio, medio alto o alto. Ma sono i motivi di calcolo a rilevare, perche' permettono di adottare le misure di sicurezza idonee.

Obbligatoria, ad esempio, quella in materia di videosorveglianza se potenzialmente controlla sistematicamente di dipendenti, perche' la webcam e' sempre accesa e controllabile in remoto, come tutte le piu' moderne.

Potenzialmente. Questa e' la parola chiave. Bisogna immaginarsi cosa potra' andare storto e quali effetti subiranno gli interessati, per mitigarli preventivamente.

Significa trattare i dati seriamente, averli piu' affidabili, e poterli difendere e recuperare prima in caso di necessità, senza lasciare al caso.