di questi dati possa comportare per i diritti e le libertà delle persone scegliere come effettuare i trattamenti e quali misure organizzative e tecniche intraprendere per abbattere i rischi e svolgere i trattamenti in sicurezza per finalità lecite definite dalla norma o per le quali si è ottenuto un consenso specifico dagli interessati.
Misure diverse a seconda della complessità
E’ chiaro che in questa ottica un’organizzazione come una grande Banca, un’azienda sanitaria importante o l’INPS, che per mole e tipologia dei dati trattati sono soggette a rischi maggiori, debbano intraprendere misure molto più forti di una piccola azienda.
Non ci sono di conseguenza prescrizioni uguali per tutti, ne tantomeno adempimenti una tantum, ma ogni organizzazione è chiamata ad una attenzione e sensibilizzazione costante verso la protezione dei dati personali.
Il principio di Accountability (essere in grado di dimostrare)
In secondo luogo, non essendo possibile definire misure specifiche per ogni organizzazione, il titolare deve essere in grado di dimostrare, in qualsiasi momento, alle autorità di controllo come abbia effettivamente implementato la compliance alla GDPR.