Il Regolamento europeo sulla protezione dei dati personali ha abolito le misure minime di sicurezza poste a base del sistema “privacy” ed elencate nell’allegato B del D.Lgs. n. 196/03. All’art. 32 il Regolamento statuisce, infatti, che il Titolare e il Responsabile del trattamento – tenuto conto dello stato dell’arte e dei costi di attuazione, della natura, dell’oggetto, del contesto e delle finalità del trattamento – devono mettere in atto misure idonee a “garantire un livello di sicurezza adeguato al rischio”. Ciò poiché il Titolare e il Responsabile devono essere in grado di garantire e dimostrare, appunto, d’aver fatto tutto il possibile per arginare il verificarsi di una situazione di rischio, nel rispetto del principio dell’“accountability” che lascia loro ampi margini di libertà nell’individuare le misure tecniche ed organizzative adeguate. A tal fine, sia il Titolare sia il Responsabile non potranno prescindere dall’effettuare una gap analysis ed un risk assessment, ossia una valutazione preliminare dei vari rischi. Se poi dovesse essere rilevato un rischio di impatto negativo sui diritti e sulle libertà fondamentali dell’interessato, detto rischio dovrà essere analizzato attraverso un apposito processo di valutazione (c.d. valutazione d’impatto). In tal senso dovranno – sulla base di quanto precede – essere aggiornati i protocolli relativi alla Parte Speciale del Modello 231 sui delitti informatici, anche al fine di poter dimostrare d’essere compliant con la normativa europea sulla protezione dei dati.