Common use of Misure di sicurezza Clause in Contracts

Misure di sicurezza. Il Fornitore deve mettere in atto misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio e garantire il rispetto degli obblighi di cui all’art. 32 del GDPR. I criteri per la valutazione del rischio devono essere previamente condivisi e approvati dalla Stazione Appaltante. Tali misure comprendono tra le altre: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. Il Fornitore si obbliga ad adottare le misure di sicurezza previste da codici di condotta di settore ove esistenti e dalle certificazioni ove acquisite (art. 40 -43 GDPR)]. Nel valutare l’adeguatezza del livello di sicurezza il Fornitore deve tenere conto in special modo dei rischi presentati dal trattamento (o dai trattamenti), che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, o dal trattamento non consentito o non conforme alle finalità della raccolta, ai dati personali trasmessi, conservati o comunque trattati. Nell’effettuare l’analisi dei rischi il Fornitore utilizza i criteri di valutazione del rischio condivisi ed approvati dalla Stazione Appaltante. All’esito dell’analisi dei rischi, le misure di sicurezza adeguate ai sensi dell’art. 32 del GDPR devono essere condivise ed approvate dalla Stazione Appaltante. I risultati dell’analisi del rischi per l’individuazione delle misure di sicurezza adeguate andranno riportati dal Fornitore in un apposito documento contenente almeno le seguenti informazioni: identificazione e classificazione dei dati personali trattati anche in termini di riservatezza ed integrità; classificazione del trattamento anche in termini di disponibilità; valutazione dei rischi per l’interessato e inerenti il trattamento stesso; l’identificazione delle misure di sicurezza così come richieste ai sensi dell’articolo 32 del GDPR. L’attività di identificazione dei dati personali oggetto del trattamento dovrà seguire i criteri di privacy by default di cui all’art. 25 del GDPR. Ai sensi dell’art. 32, comma 4, GDPR il Fornitore deve garantire che chiunque agisca sotto la sua autorità e abbia accesso ai Dati Personali non tratti tali dati se non debitamente istruito, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

Misure di sicurezza. Il Fornitore deve mettere in atto misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio e garantire il rispetto degli obblighi di cui all’art. 32 del GDPR. I criteri per la valutazione del rischio devono essere previamente condivisi e approvati dalla Stazione Appaltante. Tali misure comprendono tra le altre: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. Il Fornitore si obbliga ad adottare le misure di sicurezza previste da codici di condotta di settore ove esistenti e dalle certificazioni ove acquisite (art. 40 -43 GDPR)]. Nel valutare l’adeguatezza del livello di sicurezza il Fornitore deve tenere conto in special modo dei rischi presentati dal trattamento (o dai trattamenti), che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, o dal trattamento non consentito o non conforme alle finalità della raccolta, ai dati personali trasmessi, conservati o comunque trattati. Nell’effettuare l’analisi dei rischi il Fornitore utilizza i criteri di valutazione del rischio condivisi ed approvati dalla Stazione Appaltante. All’esito dell’analisi dei rischi, le misure di sicurezza adeguate ai sensi dell’art. 32 del GDPR devono essere condivise ed approvate dalla Stazione Appaltante. I risultati dell’analisi del rischi per l’individuazione Sul fronte delle misure di sicurezza adeguate andranno riportati dal Fornitore è bene indicare specificamente le misure tecniche, fisiche ed organizzative che saranno poste in un apposito documento contenente almeno le seguenti informazioni: identificazione e classificazione dei essere per proteggere i dati personali trattati anche in termini da sottrazione o distruzione intenzionale o accidentale, perdita accidentale, alterazioni, uso non autorizzato, modifiche, divulgazione, diffusione, accessi non previsti e ogni altra forma di riservatezza ed integrità; classificazione del trattamento anche in termini di disponibilità; valutazione dei rischi per l’interessato e inerenti illecito. Oltre a garantire il trattamento stesso; l’identificazione rispetto delle misure di sicurezza così definite “minime” dal legislatore e direttamente rinvenibili nella normativa tecnica, occorrerà individuare le misure idonee descrivendo le misure fisiche tecniche ed organizzative volte ad assicurare disponibilità dei dati, integrità, riservatezza, trasparenza, segregazione dei rischi, finalità del trattamento, possibilità di intervento, portabilità ed accountability. In quest’ultimi due casi, in particolar modo, due sono le rispettive questioni da tenere bene a mente: ● Denotare i formati dei dati, oltre alle relazioni logiche ed i costi associati alla loro portabilità, le applicazioni ed i servizi e, al tempo stesso, fissare per iscritto come richieste ai sensi dell’articolo 32 del GDPR. L’attività e a quale costo il fornitore assisterà il cliente in una eventuale migrazione verso un altro provider o per tornare a un trattamento presso i propri sistemi potrebbe rivelarsi essenziale in caso di identificazione dei dati personali oggetto del necessità; ● Descrivere di quali policy o procedure o modelli il fornitore si sia dotato per garantire e dimostrare la conformità alla normativa vigente, anche attraverso regolamenti interni o altri accorgimenti che dimostrino la necessaria compliance, ad esempio documentando tutte le operazioni di trattamento dovrà seguire i criteri di privacy by default di cui all’art. 25 del GDPR. Ai sensi dell’art. 32, comma 4, GDPR il Fornitore deve garantire che chiunque agisca svolte sotto la sua autorità responsabilità, prevedendo efficaci controlli e abbia accesso ai Dati Personali sistemi integrali di registrazione degli accessi potrebbe mettere al riparo da grattacapi di non tratti tali dati se non debitamente istruito, salvo che lo richieda il diritto dell’Unione o degli Stati membripoco valore.

Misure di sicurezza. 6.1. Il Fornitore deve mettere in atto Responsabile è obbligato ad adottare misure tecniche ed organizzative adeguate di sicurezza idonee a proteggere i dati personali trattati per garantire conto del Titolare. Alle misure di sicurezza adottate dovrà conseguire un livello di sicurezza adeguato al rischio per i dati personali trattati, che sia idoneo e garantire proporzionato in considerazione (i) della natura, dell’oggetto, del contesto e delle finalità del trattamento, (ii) dei rischi per i diritti e le libertà degli interessati, (iii) dello stato dell’arte della tecnica e della tecnologia e infine (iv) dei costi per l’implementazione ed eventuale aggiornamento di tali Misure di sicurezza. 6.2. Nello specifico, il rispetto degli obblighi Responsabile adotterà misure di cui all’artsicurezza finalizzate a proteggere i dati personali trattati in generale da qualsiasi forma di trattamento illecito, e in particolare dalla distruzione, dalla modifica, dalla divulgazione o dall’accesso illeciti o non autorizzati. 32 Le misure di sicurezza adottate dal Responsabile comprenderanno, se del GDPR. I criteri per la valutazione del rischio devono essere previamente condivisi e approvati dalla Stazione Appaltante. Tali misure comprendono tra le altrecaso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integritàl’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; cb) la capacità di ripristinare tempestivamente la disponibilità e l'accesso l’accesso dei dati personali in caso di incidente fisico o tecnico;; e dc) una procedura per testare, verificare e valutare regolarmente l'efficacia l’efficacia delle misure tecniche e organizzative Misure di sicurezza al fine di garantire la sicurezza del trattamento. 6.3. Il Fornitore si obbliga ad adottare le misure All’interno dell’Allegato A sono indicati i requisiti di base richiesti ai fini dell’implementazione delle Misure di sicurezza previste da codici di condotta di settore ove esistenti e dalle certificazioni ove acquisite (artche il Responsabile dovrà adottare. 40 -43 GDPR)]. Nel valutare l’adeguatezza del livello Ulteriori Misure di sicurezza il Fornitore deve tenere conto in special modo specifiche concretamente adottate dal Responsabile con riferimento a tutti o alcuni dei rischi presentati dal trattamento (o dai trattamenti), che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, o dal trattamento non consentito o non conforme alle finalità della raccolta, ai trattamenti di dati personali trasmessi, conservati o comunque trattati. Nell’effettuare l’analisi dei rischi il Fornitore utilizza i criteri di valutazione svolti per conto del rischio condivisi ed approvati dalla Stazione Appaltante. All’esito dell’analisi dei rischi, le misure di sicurezza adeguate ai sensi dell’art. 32 del GDPR devono essere condivise ed approvate dalla Stazione Appaltante. I risultati dell’analisi del rischi per l’individuazione delle misure di sicurezza adeguate andranno riportati dal Fornitore in un apposito documento contenente almeno le seguenti informazioni: identificazione e classificazione dei dati personali trattati anche in termini di riservatezza ed integrità; classificazione del trattamento anche in termini di disponibilità; valutazione dei rischi per l’interessato e inerenti il trattamento stesso; l’identificazione delle misure di sicurezza così come richieste ai sensi dell’articolo 32 del GDPR. L’attività di identificazione dei dati personali oggetto del trattamento dovrà seguire i criteri di privacy by default di cui all’art. 25 del GDPR. Ai sensi dell’art. 32, comma 4, GDPR il Fornitore deve garantire che chiunque agisca sotto la sua autorità e abbia accesso ai Dati Personali non tratti tali dati se non debitamente istruito, salvo che lo richieda il diritto dell’Unione o degli Stati membriTitolare saranno comunicate al Titolare nel corso dell’Incarico.

Misure di sicurezza. Il Fornitore deve Responsabile del trattamento s’impegna a mettere in atto opera misure tecniche di sicurezza ed organizzative adeguate per garantire che garantiscono un livello di sicurezza adeguato adattato al rischio rischio, ivi compresi, Il Responsabile stabilirà la sicurezza delle informazioni in conformità all’Art. 28 Par. 3 Prop. 2 Clausola c, e garantire il rispetto degli obblighi di cui all’artl’Art. 32 del GDPR nonché in particolare all’Art. 5 Par. 1 e Par. 2 del GDPR. I criteri per Le misure da prendere sono misure di sicurezza dei dati e misure che garantiscano un livello di protezione appropriato al rischio relativo alla confidenzialità, integrità, disponibilità e resilienza dei Sistemi. Lo stato della tecnologia; i costi di implementazione; la valutazione natura, ambito, e scopo del trattamento; così come la probabilità dell’accadimento e della severità del rischio ai diritti e alle libertà delle persone fisiche all’interno dell’ambito dell’Art. 32 Par. 1 del GDPR devono essere previamente condivisi tenuti in conto. Le misure tecniche e approvati dalla Stazione Appaltanteorganizzative dovranno essere soggette al progresso tecnologico e successivo sviluppo. Tali A questo proposito, al Responsabile è permesso implementare adeguate misure comprendono tra le altrealternative. Il livello di sicurezza delle specifiche misure non deve essere compromesso. Le principali misure di sicurezza comprendono: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;trattamento tramite sistemi Raid cb) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;tecnico tramite backup frequenti ed eventuali location fisiche distinte dc) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. Il Fornitore si obbliga ad adottare Responsabile del trattamento s’impegna a mettere in opera le misure di sicurezza previste da codici dal codice di condotta di settore ove esistenti e dalle certificazioni ove acquisite (art. 40 -43 GDPR)]. Nel valutare l’adeguatezza del livello di sicurezza il Fornitore deve tenere conto in special modo dei rischi presentati dal trattamento (o dai trattamenti), che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, o dal trattamento non consentito o non conforme alle finalità della raccolta, ai dati personali trasmessi, conservati o comunque trattati. Nell’effettuare l’analisi dei rischi il Fornitore utilizza i criteri di valutazione del rischio condivisi ed approvati dalla Stazione Appaltante. All’esito dell’analisi dei rischi, le misure di sicurezza adeguate ai sensi dell’art. 32 del GDPR devono essere condivise ed approvate dalla Stazione Appaltante. I risultati dell’analisi del rischi per l’individuazione delle misure di sicurezza adeguate andranno riportati dal Fornitore in un apposito documento contenente almeno le seguenti informazioni: identificazione e classificazione dei dati personali trattati anche in termini di riservatezza ed integrità; classificazione del trattamento anche in termini di disponibilità; valutazione dei rischi per l’interessato e inerenti il trattamento stesso; l’identificazione delle misure di sicurezza così come richieste ai sensi dell’articolo 32 del GDPR. L’attività di identificazione dei dati personali oggetto del trattamento dovrà seguire i criteri di privacy by default di cui all’art. 25 del GDPR. Ai sensi dell’art. 32, comma 4, GDPR il Fornitore deve garantire che chiunque agisca sotto la sua autorità e abbia accesso ai Dati Personali non tratti tali dati se non debitamente istruito, salvo che lo richieda il diritto dell’Unione o degli Stati membricomportamento interno.

Misure di sicurezza. L’articolo 5, par. 2 del Regolamento 679/2016/UE (“Principio di responsabilizzazione”) impone che è responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare tale conformità delle attività di trattamento. Tali misure dovrebbero tenere conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche. Quando il titolare del trattamento decide di affidarsi a soggetti esterni e questi, per poter svolgere l’attività, devono trattare dati personali di cui la titolarità è del titolare i soggetti esterni devono essere nominati quali responsabili del trattamento ex articolo 28 del Regolamento 679/2016/UE. Tale nomina a responsabile del trattamento impone che quest’ultimo svolga l’analisi dei rischi ex articolo 32 Regolamento 679/2016/UE anche sui trattamenti di dati personali svolti per conto del titolare del trattamento. Il Fornitore verrà individuato quale responsabile del trattamento ex articolo 28 e riceverà dal titolare del trattamento la lettera di nomina contente tutte le indicazioni dell’articolo 28 del Regolamento 679/2016/UE. Oltre all’applicazione delle misure di sicurezza, il trattamento dei dati personali, da parte del Fornitore, dovrà sempre ispirarsi al rispetto dei principi generali del D.Lgs. 196/03 successivamente rivisto con D. Lgs. 101/18 e del GDPR e quindi avvenire in modo lecito e secondo correttezza, valutando la pertinenza, la completezza e la non eccedenza dei dati rispetto alle finalità dei trattamenti in funzione delle attività assegnate. In particolare, si evidenzia il principio di minimizzazione (ex articolo 5, par. 1, lett. c del regolamento 679/2016/UE) che prevede che gli strumenti elettronici siano configurati in modo da ridurre al minimo l’utilizzo di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite possano essere realizzate mediante altri strumenti quali dati anonimi o altre modalità che permettano di identificare l’interessato solo in caso di necessità. L’evoluzione della normativa sulla privacy, mediante la pubblicazione di provvedimenti, regolamenti, ecc. ad hoc da parte del Garante Privacy, ha richiesto e potrebbe richiedere in futuro, l’implementazione di misure di sicurezza specifiche. Si chiede quindi al Fornitore di considerare e applicare ogni ulteriore misura che potrà derivare dall’evoluzione normativa. Inoltre, come previsto dal GDPR, deve essere adottato un approccio basato sulla Security e Privacy by Design e by Default che prevede l’adozione di adeguate misure di sicurezza a tutela di tutto il ciclo di vita del trattamento dei dati personali. Tali misure non sono definite puntualmente dalla normativa, ma devono essere selezionate dal Titolare e Responsabili attraverso opportune attività di analisi e verifica dei trattamenti e dei potenziali impatti in termini di privacy. Il Fornitore dovrà pertanto garantire il rispetto di tali misure e, al contempo, impegnarsi al rispetto delle misure di sicurezza identificate come necessarie ed opportune per il Servizio. In particolare, il Servizio: - Tenendo conto dello stato dell'arte nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso, deve mettere in atto misure tecniche ed e organizzative adeguate volte ad attuare in modo efficace i principi di protezione dei dati, a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del Regolamento UE 2016/679 e tutelare i diritti degli interessati; - Deve prevedere che la soluzione metta in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio e garantire il rispetto degli obblighi di cui all’artche siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. 32 del GDPR. I criteri Tale obbligo deve valere per la valutazione del rischio devono essere previamente condivisi e approvati dalla Stazione Appaltante. Tali misure comprendono tra le altre: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso quantità dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testareraccolti, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza portata del trattamento. Il Fornitore si obbliga ad adottare le misure , il periodo di sicurezza previste da codici di condotta di settore ove esistenti conservazione e dalle certificazioni ove acquisite (art. 40 -43 GDPR)]. Nel valutare l’adeguatezza del livello di sicurezza il Fornitore deve tenere conto in special modo dei rischi presentati dal trattamento (o dai trattamenti), che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, o dal trattamento non consentito o non conforme alle finalità della raccolta, ai dati personali trasmessi, conservati o comunque trattati. Nell’effettuare l’analisi dei rischi il Fornitore utilizza i criteri di valutazione del rischio condivisi ed approvati dalla Stazione Appaltante. All’esito dell’analisi dei rischi, le misure di sicurezza adeguate ai sensi dell’art. 32 del GDPR devono essere condivise ed approvate dalla Stazione Appaltante. I risultati dell’analisi del rischi per l’individuazione delle misure di sicurezza adeguate andranno riportati dal Fornitore in un apposito documento contenente almeno le seguenti informazioni: identificazione e classificazione dei dati personali trattati anche in termini di riservatezza ed integrità; classificazione del trattamento anche in termini di disponibilità; valutazione dei rischi per l’interessato e inerenti il trattamento stesso; l’identificazione delle misure di sicurezza così come richieste ai sensi dell’articolo 32 del GDPR. L’attività di identificazione dei dati personali oggetto del trattamento dovrà seguire i criteri di privacy by default di cui all’art. 25 del GDPR. Ai sensi dell’art. 32, comma 4, GDPR il Fornitore deve garantire che chiunque agisca sotto la sua autorità e abbia accesso ai Dati Personali non tratti tali dati se non debitamente istruito, salvo che lo richieda il diritto dell’Unione o degli Stati membril'accessibilità.

Misure di sicurezza. Il Fornitore deve mettere in atto RESPONSABILE si impegna a individuare e adottare misure tecniche e organizzative appropriate ed organizzative adeguate per adatte a garantire un livello di sicurezza adeguato al rischio rischio, tenendo conto, fra l’altro, della tipologia di trattamento, delle finalità perseguite, del contesto e garantire delle specifiche circostanze in cui avviene il rispetto degli obblighi trattamento, nonché della tecnologia applicabile e dei costi di cui all’artattua-zione. 32 del GDPR. I criteri per la valutazione del rischio devono essere previamente condivisi Tale impegno è da considerarsi continuativo e approvati dalla Stazione Appaltantecostantemente teso a mantenere adeguato il livello di sicurezza atteso nel tempo. Tali misure comprendono tra le altrecomprendono: a) la pseudonimizzazione e la cifratura dei dati personali; bi) la capacità di assicurare su base permanente la continua riservatezza, l'integritàintegrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamentoche trattano i dati personali; cii) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei ai dati personali in caso di incidente fisico o tecnico; diii) una procedura adeguata (messa a disposizione del TITOLARE su richiesta) per testareprovare, verificare e valutare regolarmente regolar-mente l'efficacia delle misure tecniche e organizzative adottate al fine di garantire la sicurezza del trattamento; iv) ove espressamente richieste dal TITOLARE, l’anonimizzazione, la pseudonimizzazione o la cifratura dei dati personali, previa valutazione dei rischi con il RESPONSABILE; v) ove espressamente richiesto dal TITOLARE, a fronte di evidenze documentate, applicare aggiornamenti ai sistemi ed ai software sottesi al trattamento dei dati personali al fine di correggere o prevenire potenziali vulnerabilità che possono avere un impatto negativo in termini di riservatezza, integrità e/o disponibilità dei dati qualora non già prese in carico dal RESPONSABILE. Il Fornitore si obbliga Qualora la richiesta di aggiornamento e/o messa in sicurezza venga estesa dal TITOLARE, i tempi di applicazione delle azioni di contrasto saranno di volta in volta concordati. Resta inteso che il RESPONSABILE è tenuto ad adottare le misure di sicurezza previste da codici di condotta di settore ove esistenti intervenire e dalle certificazioni ove acquisite (art. 40 -43 GDPR)]. Nel valutare l’adeguatezza del garantire il livello di sicurezza il Fornitore deve tenere conto in special modo dei atteso entro 15 giorni lavorativi a far dara dalla richiesta qualora i rischi presentati dal trattamento (o dai trattamenti), che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, o dal trattamento non consentito o non conforme alle finalità della raccolta, ai dati personali trasmessi, conservati o comunque trattati. Nell’effettuare l’analisi dei rischi il Fornitore utilizza i criteri associati alla segnalazione diano evidenza di valutazione del rischio condivisi ed approvati dalla Stazione Appaltante. All’esito dell’analisi dei rischi, le misure di sicurezza adeguate ai sensi dell’art. 32 del GDPR devono essere condivise ed approvate dalla Stazione Appaltante. I risultati dell’analisi del rischi per l’individuazione delle misure di sicurezza adeguate andranno riportati dal Fornitore in un apposito documento contenente almeno le seguenti informazioni: identificazione e classificazione dei dati personali trattati anche in termini di riservatezza ed integrità; classificazione del trattamento anche in termini di disponibilità; valutazione dei rischi per l’interessato e inerenti il trattamento stesso; l’identificazione delle misure di sicurezza così come richieste ai sensi dell’articolo 32 del GDPR. L’attività di identificazione dei dati personali oggetto del trattamento dovrà seguire i criteri di privacy by default di cui all’art. 25 del GDPR. Ai sensi dell’art. 32, comma 4, GDPR il Fornitore deve garantire che chiunque agisca sotto la sua autorità e abbia accesso ai Dati Personali non tratti tali dati se non debitamente istruito, salvo che lo richieda il diritto dell’Unione o degli Stati membricriticità elevate.