Garante per i dati personali - 5/06/2019 - n. 146 art. 1

Art. 5.1: Ambito di applicazione

Le prescrizioni in esame si applicano ai trattamenti di dati personali effettuati per finalità di ricerca scientifica di cui siano titolari soggetti specifici quali: soggetti esercenti le professioni sanitarie, gli organismi sanitari, le università, altri enti o istituti di ricerca e società scientifiche, soci delle società scientifiche e i ricercatori. Con riguardo a quest'ultima figura, non va escluso per essa il ruolo di titolare del trattamento legato all'organizzazione del progetto di ricerca. Tali previsioni concernono, inoltre, anche i trattamenti svolti da tutte le persone fisiche o giuridiche, enti, associazioni e organismi di natura privatistica che svolgono le attività di trattamento dei dati per fini di ricerca scientifica in qualità di responsabili esterni, nominati ai sensi dell'art. 28 GDPR (es. organizzazioni di ricerca a contratto, laboratori di analisi, ecc.), nonché da tutte le persone fisiche operanti sotto la diretta autorità dei titolari e/o dei responsabili del trattamento coinvolti nelle ricerche, che siano stati espressamente designati o autorizzati al trattamento dei dati in conformità con le disposizioni contenute negli artt. 29 e 32 del GDPR e art. 2-quaterdecies cod. privacy (es. ricercatori, monitor, commissioni di esperti ecc.).

Non sfugge all'interprete come, differentemente dalla precedente formulazione, alla lettera b ) dell'articolo in commento non venga più richiamato il comma 2 dell'art. 2 del Codice di deontologia e buona condotta per i trattamenti di dati personali per scopi statistici e scientifici (Allegato A.4 al previgente cod. privacy) che escludeva l'applicazione del medesimo Codice deontologico per quei trattamenti effettuati per scopi di ricerca statistica e scientifica connessi con attività di tutela della salute, ovvero con attività comparabili in termini di significativa ricaduta personalizzata sull'interessato (prescrizione che, peraltro, superava il vaglio di compatibilità col GDPR ai sensi dell'art. 20, commi 3 e 4, del d.lgs. n. 101/2018, e veniva riproposta tal quale dal Garante nell'art. 2.2 delle “Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica pubblicate ai sensi dell'art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101 – 19 dicembre 2018”, [doc. web. n. 9069637]. In effetti, l'eliminazione da parte del Garante di tale riferimento di fatto non esclude più tali trattamenti dall'ambito di applicazione delle prescrizioni in esame. Al riguardo, si precisa come, tra le attività di trattamento connesse con attività di tutela della salute svolte da esercenti professioni sanitarie od organismi sanitari, ovvero con attività comparabili in termini di significativa ricaduta personalizzatasull'interessato, rientrinoanche quelle svolte nell'ambito dellasperimentazione clinica riguardante non solo farmaci (cfr. art. 2.2. Reg. (UE) n. 536/2014) ma anche dispositivi medici (cfr. art. 7 d.lgs. n. 507/1992; art. 14 d.lgs. n. 46/1997; d.m. 2 agosto 2005) e compresa quella non avente scopo di lucro, ossia non promossa da società farmaceutiche o da altre strutture private per lo sviluppo industriale di un farmaco o dispositivo medico (cfr. art. 1 d.lgs. n. 200/2007 e d.m. 17 dicembre 2004).

Come chiarito anche dal Garante nelle “Linee guida per i trattamenti di dati personali nell'ambito delle sperimentazioni cliniche di medicinali”, adottate il 24 luglio 2008, [doc. web n. 1533155], le predette sperimentazioni cliniche hanno una ricaduta personalizzata sull'interessato.

Con riguardo agli studi effettuati nell'ambito delle sperimentazioni cliniche, la ricaduta personalizzata sugli interessati deriva dal fatto che il rilievo scientifico di tali attività di ricerca in campo medico, biomedico ed epidemiologico “è strettamente connaturato con l'atto medico e con l'attività assistenziale rivolta al singolo paziente assistito” (in tal senso: Marchi, 686).

Art. 5.2: Tipologie di ricerche

Le prescrizioni in commento sono dedicate esclusivamente ad un settore specifico della ricerca scientifica che è quello della ricerca in campo medico (ricerca medica, biomedica ed epidemiologica). Gli studi che vengono effettuati in quest'ambito implicano, principalmente, il trattamento di categorie particolari di dati personali ai sensi dell'art. 9 GDPR, il quale prevede idonee garanzie a tutela dei diritti e delle libertà degli interessati. In particolare, si precisa che tali ricerche comportano il trattamento dei dati relativi alla salute e non escludono anche trattamenti di dati idonei a rivelare la vita sessuale, l'origine razziale ed etnica degli individui interessati e di dati genetici.

Con riguardo ai dati genetici, come osservato dal Garante nel provvedimento in esame, il loro trattamento deve essere effettuato in conformità̀ con l'art. 9 del GDPR, l'art. 2-sexies, le prescrizioni individuate dal Garante stesso al punto 4 dell'Allegato 1 del provvedimento prescrittivo titolato “Prescrizioni relative al trattamento dei dati genetici (aut. gen. n. 8/2016)” e le previste misure di garanzia ai sensi dell'art. 2-septies cod. privacy.

Nel provvedimento in commento, potrà notarsi come all'interno delle “tipologie” di ricerca che ricadono nell'ambito di applicazione delle presenti prescrizioni, l'Autorità abbia individuato due distinte specie di trattamento: a ) i trattamenti necessari per la conduzione di studi effettuati con dati già raccolti per altre finalità (di tutela della salute o per l'esecuzione di precedenti progetti di ricerca); b ) i trattamenti necessari per la conduzione di studi “effettuati con dati riferiti a persone che, in ragione della gravità del loro stato clinico, non sono in grado di comprendere le indicazioni rese nell'informativa e di prestare validamente il consenso”.

In relazione ai trattamenti di cui al predetto punto a ), in cui ci si limita a raccogliere e trattare le informazioni cliniche e/o i campioni biologici dei pazienti/interessati già costituite per altri fini, sembrerebbero riferirsi a studi che vengono svolti senza intervenire sui pazienti (utilizzando farmaci o dispositivi medici o eseguendo procedure aggiuntive rispetto alla normale pratica clinica), e quindi non connessi ad attività aventi “significativa ricaduta personalizzata sull'interessato” o comunque strettamente associati ad attività di tutela della salute.

Con riguardo, invece, alla nuova fattispecie di trattamento introdotta dal Garante di cui al predetto punto b), questa si caratterizza per la mancanza di capacità dell'interessato di comprendere le indicazioni dell'informativa e di prestare il consenso, indipendentemente dalla natura sperimentale o meno della ricerca e del connesso trattamento.

Per meglio comprendere la portata dell'intervento del Garante, potrebbe essere utile procedere brevemente ad una disamina del sistema previgente alla riforma operata dal d.lgs. n. 101/2018.

Nell'impianto pre-riforma, l'art. 110 cod. privacyconsentiva il trattamento dei dati personali per scopi di ricerca scientifica in campo medico, biomedico ed epidemiologico, senza la necessità di acquisire il consenso degli interessati, in una serie di circostanze tassativamente indicate; segnatamente, quando la ricerca i) era prevista da un'espressa disposizione di legge ovvero ii) rientrava in un programma di ricerca biomedica o sanitaria ai sensi dell'art. 12-bis del d.lgs. n. 502/1992 e per il quale erano decorsi quarantacinque giorni dalla comunicazione al Garante (prevista dall'abrogato articolo 39 del Codice) o, ancora iii ) quando a causa di particolari ragioni, non era possibile informare gli interessati e il programma di ricerca era oggetto di motivato parere favorevole del competente comitato etico a livello territoriale ed era autorizzato dal Garante con provvedimento generaleexart. 40 o speciale ex art. 41 cod. privacy. In considerazione del fatto che i trattamenti dei dati sensibili potevano essere autorizzati dal Garante – anche d'ufficio – con provvedimenti di carattere generale relativi a determinate categorie di titolari o di trattamenti, l'Autorità, con la predetta Autorizzazione generale al trattamento dei dati personali effettuato per scopi di ricerca scientifica n. 9/2016, sanciva la possibilità di procedere al trattamento di dati personali degli interessati da includere nella ricerca, anche in assenza del loro consenso; il trattamento doveva rivelarsi necessario per la conduzione di studi, non aventi significativa ricaduta personalizzata sull'interessato, effettuati con dati raccolti in precedenza a fini di cura o per l'esecuzione di precedenti progetti di ricerca ovvero ricavati da campioni biologici prelevati in precedenza per finalità di tutela della salute o per l'esecuzione di precedenti progetti di ricerca. Il provvedimento indicava, inoltre, le circostanze eccezionali la cui sussistenza avrebbe esentato i titolari del trattamento dall'obbligo di fornire l'informativa agli interessati. Si trattava, nello specifico, delle stesse ragioni di natura etica ed organizzativa oggi riproposte dal Garante nel provvedimento in commento ai sensi del successivo art. 5.3 (.1 e 2), a cui sono stati aggiunti i motivi di salute riconducibili alla gravità dello stato clinico del paziente che sia tale da impedirgli di comprendere le indicazioni rese nell'informativa e a prestare validamente il consenso (.3). Il provvedimento autorizzativo generale predetto, quindi, ha rappresentato, indubbiamente, un valido strumento a disposizione dell'Autorità per adottare omogenee misure di garanzia a favore degli interessati, evitando di doversi pronunciare di volta in volta su specifiche richieste di autorizzazione al trattamento dei dati relativamente alle fattispecie considerate nel provvedimento stesso.

È appena il caso di osservare come il sistema descritto abbia comunque reso necessario, specie nell'ambito delle sperimentazioni cliniche, l'intervento autorizzativo speciale del Garante (ai sensi dell'abrogato art. 41 cod. privacy) in presenza di specifiche richieste di autorizzazione al trattamento dei dati – il cui accoglimento fosse giustificato da circostanze particolari- riguardanti i casi in cui risultasse impossibile, o comportasse un impiego di mezzi manifestamente sproporzionato, rendere l'informativa agli interessati e raccogliere il loro consenso.

Nelle circostanze anzidette è stato spesso considerato anche il caso in cui il trattamento potesse essere effettuato in assenza del consenso di quei pazienti che, in ragione del loro stato salute, non erano stati in grado di comprendere il contenuto dell'informativa sul trattamento dei dati e di prestare validamente il proprio consenso. Invero, tali fattispecie, sebbene erano astrattamente ricomprese nella disciplina dell'art. 110 cod. privacy (ante riforma), non trovavano applicazione nel menzionato provvedimento generale.

Sul punto appare opportuno richiamare i seguenti provvedimenti emanati dal Garante: “Autorizzazione al trattamento dei dati di pazienti per una sperimentazione clinica in assenza di informativa e consenso (Sangart Inc.) – 25 ottobre 2012”, [doc. web n. 2120934]; Autorizzazione al trattamento di dati attinenti alla salute dei pazienti inclusi in uno studio multicentrico internazionale – 11 maggio 2017”, [doc. web n. 6503911].

Alla luce delle considerazioni svolte, non si può escludere che l'Autorità abbia voluto ampliare il perimetro delle prescrizioni di garanzia – così come rinnovate – anche alla ricerca scientifica di tipo sperimentale, nei casi in cui il trattamento sia necessario per la conduzione di studi effettuati con dati riferiti a persone che, in ragione della gravità del loro stato clinico, non sono in grado di comprendere le indicazioni rese nell'informativa e di prestare validamente il consenso; ciò tuttavia, senza escludere l'applicabilità di tale prescrizione anche per quei trattamenti necessari per la conduzione di studi senza significativa ricaduta personalizzata o comunque che non sono strettamente associati ad attività di tutela della salute. Tale soluzione, invero, giustificherebbe l'eliminazione dei riferimenti operati all'art. 2.2. del Codice deontologico e la specificazione che gli studi effettuati con dati che si riferiscono a pazienti che, in considerazione della loro condizione clinica, non sono in grado di comprendere il contenuto dell'informativa e di prestare validamente il consenso debbano essere volti “al miglioramento dello stesso stato clinico in cui versa l'interessato”. Il provvedimento in commento prescrive, inoltre, che tali ricerche debbano essere effettuate sulla base di un progetto di ricerca sottoposto alla verifica del competente comitato etico a livello territoriale, che dovrà esprimere motivato parere favorevole rispetto al progetto stesso.

Art. 5.3: Consenso

L'Autorità Garante ha individuato alcune tra le circostanze particolari ed eccezionali in cui non è necessario acquisire il consenso dell'interessato per trattare i suoi dati personali al di fuori dai casi in cui la ricerca scientifica sia prevista dalla legge da regolamento o dal diritto dell'Unione europea. Resta fermo che le condizioni di liceità del trattamento per le finalità in esame sono previste dagli artt. 110 e 110 -bis cod. privacy (sebbene, nel provvedimento in commento tali articoli non siano stati richiamati), a seconda se a “riusare” i dati sia il medesimo titolare o siano terzi titolari Più specificamente, in tali casi, l'art. 110 del codice della privacy, come recentemente riformulato, richiede – oltre al motivato parere favorevole del comitato etico competente – un'autorizzazione specifica del Garante, conformemente all'art. 36 del GDPR. L'art. 110-bis del codice della privacy, laddove ritenuto applicabile anche al settore della ricerca medica, biomedica ed epidemiologica, permette, negli stessi casi in cui non sia possibile acquisire il consenso degli interessati, che il trattamento dei dati possa essere autorizzato dal Garante anche mediante provvedimenti generali adottati d'ufficio. Le ragioni per quali informare gli interessati ed ottenere il loro consenso risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca possono essere, dunque, ricollegabili a:

a ) motivi etici: ricorrono in quei casi in cui gli interessati ignorano la propria condizione e l'eventuale informazione gli arrecherebbe un danno materiale o psicologico (es. studi epidemiologici sulla distribuzione di un fattore che predìca o possa predire lo sviluppo una malattia per la quale non esiste un trattamento);

b ) motivi di impossibilità organizzativa: riconducibili ai casi in cui il numero stimato dei soggetti che si intende coinvolgere nella ricerca ma che non è possibile contattare per informarli (e acquisirne il consenso) è tale per cui, ove si facesse a meno dei relativi dati, ne verrebbe pregiudicata la ricerca stessa in termini di alterazione dei risultati.

Si tratta, sovente, di casi in cui i dati sono già stati raccolti in relazione ad un numero elevato di interessati che anche alla luce del periodo di tempo trascorso e di eventi occorsi (decessi, cambiamenti di domicilio, altre ragioni), all'esito di ogni ragionevole sforzo non risultano contattabili.

Resta fermo l'obbligo di raccogliere il consenso al trattamento dei dati di tali soggetti laddove questi si rivolgano successivamente presso il centro di cura (titolare);

c ) motivi di salute: riferibili ai casi di pazienti incapaci di comprendere le indicazioni rese nell'informativa e a prestare validamente il consenso a causa della gravità delle condizioni di salute in cui versano. Affinché ricorra tale circostanza è necessario che lo studio a cui viene sottoposto il paziente sia volto al miglioramento del suo stato clinico. Inoltre, è necessario comprovare che le finalità̀ perseguite dallo studio non possano essere realizzate alternativamente attraverso il trattamento di dati personali riferiti ad altre persone in grado di comprendere le indicazioni contenute nell'informativa e di prestare validamente il proprio consenso, ovvero con altre metodologie di ricerca “avuto riguardo, in particolare, ai criteri di inclusione previsti dallo studio, alle modalità di arruolamento, alla numerosità statistica del campione prescelto, nonché all'attendibilità dei risultati conseguibili in relazione alle specifiche finalità dello studio”.

In tali casi, sarà resa l'informativa e richiesto il consenso a chi esercita legalmente la rappresentanza, ovvero a un prossimo congiunto, a un familiare, a un convivente o unito civilmente (l. n. 76/2016) ovvero a un fiduciario (v. art. 4 della l. n. 219/2017) o, in loro assenza, al responsabile della struttura presso cui dimora l'interessatoex art. 82, comma 2, lett. a), del cod. privacy.

Al riguardo si sottolinea come, a seguito delle modifiche apportate dalla riforma attuata dal d.lgs. n. 101/2018, l'art. 82 cod. privacy, disciplinante modalità particolari di informazione e trattamento di dati in ambito sanitario in caso di emergenze, sia stata integrato con i riferimenti alle unioni civili e alla regolamentazione relativa alle disposizioni anticipate di trattamento (cd. DAT), comunemente definite “testamento biologico” o “biotestamento”. La previsione di questa sorta di sostituzione vicaria dell'interessato trova la propria giustificazione nel fatto che le persone elencate nella norma citata, in virtù della loro conoscenza della persona incapace o altrimenti impossibilitata a prestare il consenso, sono in condizione di salvaguardarne meglio la volontà.

Ciò non toglie che debba essere resa l'informativa sul trattamento dei dati al paziente/interessato non appena le sue condizioni di salute lo consentano.

Tale prescrizione rappresenta una misura di garanzia di trasparenza per l'interessato al fine di consentirgli l'esercizio dei diritti previsti dal Reg. 2016/679.

Le predette ragioni per quali non è possibile informare gli interessati devono essere documentate nel progetto di ricerca anche in ossequio del principio di accountability (art. 5.2 del GDPR).

In questo contesto, è possibile citare alcuni provvedimenti emanati dal Garante: “Provvedimento dell'11 novembre 2021”, [doc. web n. 9736936]; “Provvedimento del 24 novembre 2022”, [doc. web n. 9842737]; “Provvedimento del 2 marzo 2023”, [doc. web n. 9875254]; “Provvedimento del 22 giugno 2023” [doc. web n. 9919244]; “Provvedimento del 6 luglio 2023, [doc. web n. 9919999]; “Provvedimento 7 aprile 2022”, [doc. web n. 9772545]; “Provvedimento 30 giugno 2022” [doc. web n. 9791886]; “Parere in ordine al trattamento dei dati personali, anche inerenti a particolari categorie di dati, per finalità di ricerca medica, biomedica e epidemiologica, riferiti alla coorte di pazienti arruolati nello studio “MATTERHORN” – 20 giugno 2019” [doc. web n. 9123447].

Art. 5.4: Modalità di trattamento

L'articolo in commento è conforme alle indicazioni dettate dal legislatore europeo ai sensi dell'art. 89, par. 1, del GDPR – sebbene tale articolo non sia stato richiamato – e attiene alle modalità da adottare per procedere al trattamento dei dati per le finalità di ricerca in oggetto. In base alla prescrizione in esame, qualora l'attività di ricerca non possa essere portata a termine senza l'identificazione – anche temporanea – degli interessati, nel trattamento successivo alla raccolta di dati personali (“raccolta retrospettiva”) è necessario adottare tecniche di cifratura o di pseudonimizzazione o altre soluzioni che non consentano la diretta identificazione degli stessi.Inoltre, i codici utilizzati non dovrebbero essere desumibili dai dati personali identificativi degli interessati, salvo che ciò risulti impossibile o richieda un impiego di mezzi manifestamente sproporzionato e purché di tali ragioni se ne dia evidenza nel progetto.

In piena applicazione del principio di minimizzazione espresso dall'art. 5.1.c) del GDPR, laddove indispensabili per il raggiungimento delle finalità della ricerca, potranno essere trattati, oltre ai dati relativi allo stato di salute degli interessati, anche i dati idonei a rivelarne la vita sessuale e l'origine razziale ed etnica. È appena il caso di rilevare come, con riguardo al contesto sanitario e alla vita sessuale, l'espressione “dati idonei a rivelare”, rintracciabile nel testo dell'articolo in commento, non risulti omogenea con l'accezione utilizzata dal citato Regolamento (UE) 2016/679 che si riferisce a “dati relativi alla salute e alla vita sessuale”. Invero, il primo riferimento – dati idonei a rivelare – sembrerebbe avere una portata più ampia rispetto all'altro che, invece, appare più circoscritto.

Art. 5.5: Comunicazione e diffusione

I singoli centri partecipanti e coordinatori hanno generalmente, rispetto ai promotori, responsabilità distinte nell'ambito degli studi, configurandosi tendenzialmente come autonomi titolari o, in alcuni dei casi, anche come contitolari del trattamento. Ai fini della conduzione dello studio appare necessario che i soggetti comunichino tra loro i dati personali relativi ai pazienti sottoposti allo stesso. Come precisato dal Garante nelle “Linee guida in materia di sperimentazione clinica di medicinali” del 2008, tale comunicazione di informazioni risulta una comunicazione a terzi, in particolare nel caso distinti titolari del trattamento. Per tale motivo, nelle informazioni sul trattamento dei dati da rendere agli interessati ai sensi dell'art. 13 del GDPR, nonché nella formula di consenso inserita all'interno dell'informativa stessa, tali soggetti “terzi” devono essere specificamente indicati.

I dati personali idonei a rivelare lo stato di salute degli interessati che vengono utilizzati per la conduzione dello studio non possono essere diffusi, come prescritto dall'art. 2-septies, comma 8, del Codice Privacy, se non in forma anonima e aggregata.

Tale divieto di diffusione viene esteso dal Garante anche ai dati relativi alla vita sessuale e all'origine razziale ed etnica. Sul punto rileva osservare come, almeno apparentemente, resterebbero esclusi dal divieto di diffusione i dati relativi all'orientamento sessuale. Invero, sebbene tale tipologia di dati sia stata solo di recente inserita dal legislatore europeo nella categoria dei dati particolari di cui all'art. 9 del GDPR, in passato veniva in ogni caso ricondotta alla categoria dei dati relativi alla vita sessuale (per una più ampia disamina del concetto di orientamento sessuale si veda: Bolognini,in Bolognini, Pelino, 28-29). Per tale ragione, non si può escludere che il predetto divieto riguardi anche i dati relativi all'orientamento sessuale.

Art. 5.6: Conservazione dei dati e dei campioni

Il Garante prevede che nel progetto di ricerca deve essere indicato il periodo di conservazione dei dati personali (compresi i campioni) successivo alla conclusione dello studio. Tali dati sono sottoposti a tecniche di pseudonimizzazione (ad esempio mediante cifratura o utilizzo di codici identificativi oppure altre soluzioni) che rendano gli interessati non direttamente identificabili.

Va, peraltro, osservato come, la previsione del Garante vada ragionevolmente ricondotta al principio di limitazione della conservazione sancito dall'art. 5.1. e ) del GDPR, sebbene lo stesso Garante non ne faccia riferimento. Successivamente alla conclusione di tale periodo, i dati personali (compresi i campioni) devono essere anonimizzati.

Art. 5.7: Custodia e sicurezza

Una differenza che si può facilmente cogliere nella disposizione in commento rispetto alla sua formulazione pre-vigente, attiene al mancato inserimento del riferimento all'abrogato allegato tecnico (Allegato B) al Codice Privacy, nonché alle citate Linee guida adottate dal Garante per i trattamenti di dati personali nell'ambito delle sperimentazioni cliniche di medicinali (cfr. par. 12). L'attuale testo detta prescrizioni, in termini di sicurezza dei trattamenti dei dati, che i titolari del trattamento, ciascuno per i propri ambiti di competenza e responsabilità, devono adottare durante le diverse fasi dei trattamenti stessi (memorizzazione o archiviazione dei dati – e, eventualmente, di raccolta e conservazione dei campioni biologici-, sia nella fase successiva di elaborazione delle medesime informazioni, nonché nella successiva fase di trasmissione dei dati al promotore o ai soggetti esterni che collaborano con il primo per l'esecuzione dello studio) per incrementare il livello di sicurezza dei dati trattati per l'esecuzione dello studio.

In particolare, sono individuate specifiche cautele ed accorgimenti tecnici idonei a: a ) garantire la qualità dei dati e la corretta attribuzione agli interessati (ovverosia l'esattezza dei dati stessi); b ) garantire la protezione dei dati da rischi di violazioni (data breach), in particolare di accesso abusivo ai dati, furto o smarrimento dei supporti di memorizzazione o dei sistemi di elaborazione portatili o fissi; c. consentire la trasmissione dei dati attraverso canali e/o supporti di trasmissione protetti; d. garantire, nella conservazione e nella trasmissione dei campioni biologici, l'utilizzo di codici identificativi o altre soluzioni che, considerato il numero dei campioni stessi, li rendano non direttamente riconducibili all'interessato, se non in caso di necessità; e. nel caso di operazioni di elaborazione dei dati memorizzati in una banca dati centralizzata, predisporre adeguati sistemi di autenticazione e autorizzazione e procedure per la verifica periodica della coerenza e della qualità dei credenziali e dei profili di autorizzazione, nonché controllo degli accessi.

Tali misure si aggiungono a tutte le misure tecniche ed organizzative che i titolari del trattamento devono adottare per “garantire un livello di sicurezza adeguato al rischio” in ossequio agli artt. 5.1.f), 5.2, 24,25 e 32 del GDPR.