Versione HTML di base
(75) I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da
trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il
trattamento può comportare discriminazioni, furto o usurpazione d'identità, perdite finanziarie, pregiudizio alla
reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata
della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di
essere privati dei loro diritti e delle loro libertà o venga loro impedito l'esercizio del controllo sui dati personali
che li riguardano; se sono trattati dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le
convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati
relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di
aspetti personali, in particolare mediante l'analisi o la previsione di aspetti riguardanti il rendimento professionale,
la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento,
l'ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di
persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali
e un vasto numero di interessati.
(76) La probabilità e la gravità del rischio per i diritti e le libertà dell'interessato dovrebbero essere determinate con
riguardo alla natura, all'ambito di applicazione, al contesto e alle finalità del trattamento. Il rischio dovrebbe
essere considerato in base a una valutazione oggettiva mediante cui si stabilisce se i trattamenti di dati
comportano un rischio o un rischio elevato.
(77) Gli orientamenti per la messa in atto di opportune misure e per dimostrare la conformità da parte del titolare del
trattamento o dal responsabile del trattamento in particolare per quanto riguarda l'individuazione del rischio
connesso al trattamento, la sua valutazione in termini di origine, natura, probabilità e gravità, e l'individuazione
di migliori prassi per attenuare il rischio, potrebbero essere forniti in particolare mediante codici di condotta
approvati, certificazioni approvate, linee guida fornite dal comitato o indicazioni fornite da un responsabile della
protezione dei dati. Il comitato può inoltre pubblicare linee guida sui trattamenti che si ritiene improbabile
possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche e indicare quali misure possono
essere sufficienti in tali casi per far fronte a tale rischio.
(78) La tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei dati personali richiede
l'adozione di misure tecniche e organizzative adeguate per garantire il rispetto delle disposizioni del presente
regolamento. Al fine di poter dimostrare la conformità con il presente regolamento, il titolare del trattamento
dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei
dati fin dalla progettazione e della protezione dei dati di default. Tali misure potrebbero consistere, tra l'altro, nel
ridurre al minimo il trattamento dei dati personali, pseudonimizzare i dati personali il più presto possibile, offrire
trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, consentire all'interessato di
controllare il trattamento dei dati e consentire al titolare del trattamento di creare e migliorare caratteristiche di
sicurezza. In fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul
trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni, i produttori dei prodotti,
dei servizi e delle applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati
allorché sviluppano e progettano tali prodotti, servizi e applicazioni e, tenuto debito conto dello stato dell'arte, a
far sì che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di
protezione dei dati. I principi della protezione dei dati fin dalla progettazione e di default dovrebbero essere presi
in considerazione anche nell'ambito degli appalti pubblici.
(79) La protezione dei diritti e delle libertà degli interessati così come la responsabilità generale dei titolari del
trattamento e dei responsabili del trattamento, anche in relazione al monitoraggio e alle misure delle autorità di
controllo, esigono una chiara ripartizione delle responsabilità ai sensi del presente regolamento, compresi i casi in
cui un titolare del trattamento stabilisca le finalità e i mezzi del trattamento congiuntamente con altri titolari del
trattamento o quando l'operazione di trattamento viene eseguita per conto del titolare del trattamento.
(80) Quando un titolare del trattamento o un responsabile del trattamento non stabilito nell'Unione tratta dati
personali di interessati che si trovano nell'Unione e le sue attività di trattamento sono connesse all'offerta di beni
o alla prestazione di servizi a tali interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento
dell'interessato, o al controllo del loro comportamento, nella misura in cui tale comportamento ha luogo
all'interno dell'Unione, è opportuno che tale titolare del trattamento o responsabile del trattamento designi un
rappresentante, tranne se il trattamento è occasionale, non include il trattamento, su larga scala, di categorie
particolari di dati personali o il trattamento di dati personali relativi alle condanne penali e ai reati, ed è
improbabile che presenti un rischio per i diritti e le libertà delle persone fisiche, tenuto conto della natura, del
contesto, dell'ambito di applicazione e delle finalità del trattamento, o se il titolare del trattamento è un'autorità
4.5.2016
L 119/15
Gazzetta ufficiale dell'Unione europea
IT