Le Règlement européen en matière de protection des données personnelles a aboli les mesures minimales de sécurité à la base du système de la « vie privée » et énumérées à l’annexe B du Décret législatif n° 196/03. À l’art. 32, le Règlement établit, en effet, que le Responsable et le Sous-traitant du traitement – compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement – doivent mettre en œuvre des mesures appropriées afin de « garantir un niveau de sécurité adapté au risque » et ce, parce que le Responsable et le Sous-traitant doivent être en mesure de garantir et de démontrer, précisément, qu’ils ont fait le maximum pour empêcher qu’une situation de risque ne se produise, dans le respect du principe de responsabilité qui leur laisse une grande marge de liberté pour définir des mesures techniques et organisationnelles adéquates. Pour ce faire, tant le Responsable que le Sous-traitant ne pourront se soustraire à la réalisation d’une analyse des écarts et d’une évaluation préliminaires des risques. Si un risque d’impact négatif sur les droits et sur les libertés fondamentales de la personne concernée devait être ensuite décelé, ce risque devra être analysé en effectuant un processus d’évaluation spécifique (à savoir une analyse d’impact). Dans cette perspective, ils devront – sur la base de ce qui précède – être au courant des derniers protocoles relatifs à la Partie Spéciale du Modèle 231 sur les délits informatiques afin de pouvoir également démontrer qu’ils respectent la réglementation européenne en matière de protection des données.