GDPR: Come si determinano livelli di tutela adeguati al rischio (Guida al GDPR 5.4)

Un preciso compito del titolare del trattamento dei dati personali sarà dunque quello di effettuare una valutazione preliminare dei rischi che ciascun trattamento che il titolare andrà ad effettuare potrebbe comportare per la protezione dei dati personali.

Simile valutazione è necessaria per capire se un trattamento potrebbe presentare un rischio particolarmente elevato per i diritti e le libertà delle persone fisiche e per predisporre misure tecniche ed organizzative adeguate ai rischi prospettati. Questo è quanto previsto infatti dall’art. 35, par. 1 del GDPR, che così stabilisce: “Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi”.

Ma è preliminare a ciò capire quali sono, nelle intenzioni del legislatore europeo, le situazioni in cui un trattamento può determinare un rischio elevato e richiedere, quindi, che sia realizzata una valutazione d’impatto sulla protezione dei dati.

Da questo punto di vista il punto di partenza è sempre l’analisi del contesto specifico di riferimento, tenendo conto, in particolare, di una serie di elementi quali, ad esempio:

-la presenza di big data;

-la presenza di dati sensibili (si pensi, ad esempio, al trattamento di dati sanitari su larga scala);

-l’utilizzo di strumenti di decisione altamente automatizzati;

-l’impiego di meccanismi di profilazione degli interessati;

– il trasferimento dei dati verso Stati non appartenenti all’Unione Europea (e non tutelati quindi dalla sua regolamentazione)

Questi sono tutti elementi che dovrebbero far suonare un campanello d’allarme per i titolari e i responsabili.

Dopo aver fatto una stima di quelli che possono essere i rischi prevedibili per i diritti e le libertà degli interessati derivanti da ciascun trattamento che si vorrebbe effettuare, il titolare del trattamento dovrà individuare le misure concrete che, caso per caso, possano consentire di raggiungere un livello di tutela che sia adeguato a quegli specifici rischi previsti.

In particolare, le misure così determinate dovranno essere idonee a minimizzare i rischi individuati, assestandoli ad un livello tollerabile, anche con l’obiettivo di dimostrare la conformità alla disciplina dettata dal GDPR.

A questo proposito, come sottolineato nelle Linee guida concernenti la valutazione d’impatto sulla protezione dei dati, le misure che dovranno essere concretamente adottate dai titolari al fine di controbilanciare in modo efficace i rischi individuati come probabili, dipenderanno dal singolo e specifico caso, quindi dal contesto particolare, in relazione a quella precisa situazione e a quel preciso trattamento dei dati.

Di conseguenza, strumenti come la pseudonimizzazione o la cifratura dei dati personali, previsti dal GDPR all’art. 32, par. 1, lett. a) come alcune delle misure che possono essere poste in essere al fine di garantire un adeguato livello di sicurezza del trattamento dei dati, non saranno necessariamente appropriate o idonee o sufficienti per garantire la protezione dei dati personali.

Il GDPR si limita, infatti, a fornire un’elencazione esemplificativa delle misure di sicurezza, ma l’unica soluzione accettabile consisterà in decisioni concrete, prese caso per caso.

Quando, poi, il titolare del trattamento non riesca ad individuare strumenti che consentano di trattare i dati in maniera tale da controbilanciare in modo sufficiente i rischi individuati, cioè quando i rischi “residui” si mantengono particolarmente elevati, il titolare o il responsabile dovranno consultarsi con l’Autorità di controllo per capire se e come sia possibile procedere ad effettuare quel particolare trattamento. Questo è previsto, in particolare, dall’art. 36, par. 1 del GDPR (la norma, a questo proposito, dispone che “Il titolare del trattamento, prima di procedere al trattamento, consulta l’autorità di controllo qualora la valutazione d’impatto sulla protezione dei dati a norma dell’articolo 35 indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio”).

Un’ipotesi di questo tipo potrebbe concretizzarsi nel caso in cui si preveda che potrebbero verificarsi, in capo agli interessati, delle conseguenze negative o irreversibili, oppure nel caso in cui sia altamente probabile che un tale rischio si concretizzerà in futuro.

Questa eventualità potrebbe ricorrere, ad esempio, nel caso in cui un accesso illegittimo ai dati personali potrebbe comportare un rischio per la vita o la sicurezza degli interessati, oppure concretizzare un grave rischio di tipo finanziario, o ancora nel caso in cui non sia possibile dare una soluzione soddisfacente ad una criticità o vulnerabilità nota, perché, ad esempio, il numero di persone aventi accesso ai dati personali non può essere diminuito.

In aggiunta a questo, il titolare del trattamento dovrà poi interpellare l’Autorità di vigilanza qualora sia lo stesso diritto dello Stato membro che viene in rilievo nel caso particolare a stabilire che i titolari del trattamento debbano necessariamente consultarsi, oppure ottenere un’autorizzazione preliminare, come potrebbe essere previsto, ad esempio, qualora il titolare del trattamento debba eseguire un compito di interesse pubblico (ad esempio in materia di pubblica sicurezza o di sanità pubblica). Questo è quanto prevede l’art. 36, par. 5 del GDPR che così dispone: “Nonostante il paragrafo 1, il diritto degli Stati membri può prescrivere che i titolari del trattamento consultino l’autorità di controllo, e ne ottengano l’autorizzazione preliminare, in relazione al trattamento da parte di un titolare del trattamento per l’esecuzione, da parte di questi, di un compito di interesse pubblico, tra cui il trattamento con riguardo alla protezione sociale e alla sanità pubblica”.

Le Linee guida sopra richiamate precisano poi anche la circostanza che una tale valutazione di impatto non sarà richiesta, in particolare, per quei trattamenti in corso che erano già stati autorizzati dalle competenti autorità e che non presentino modifiche significative prima del 25 maggio 2018, data in cui il GDPR avrà piena applicazione.

FocusGDPRNormativaPrivacy e sicurezza Informatica
marzo 19, 2018
gdprprivacyRegolamento europeo
logo fclex nero

Scopri anche

intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

28 Mar
Leggi tutto
linee guida agcom influencer

Nuove Linee guida AGCOM per Influencer e Content Creator: Criticità, multe e sfide nel Contesto Giuridico

17 Gen
Leggi tutto
ecommerce sanzioni direttiva omnibus 2023 omnibus

Nuovi obblighi per gli eCommerce: maggiori responsabilità per le imprese e tutele per i consumatori

14 Apr
Leggi tutto
recesso contratto clausola ecommerce limite

Diritto di recesso dal contratto: limiti e clausola di recesso

6 Apr
Leggi tutto
COME REGISTRARE MARCHIO

Come registrare un marchio? Le 5 domande più frequenti

29 Mar
Leggi tutto
guadagnare con marchio e licenza

Licensing e modelli di Business: 5 licenze per monetizzare il tuo marchio

18 Gen
Leggi tutto

Ultimi aggiornamenti

password garante

Linee guida del Garante Privacy in materia di Funzioni Crittografiche e Conservazione delle Password

Con il provvedimento n. 9962283 del 7 dicembre 2023, il Garante per la Protezione dei Dati Personali e l’Agenzia per la cybersicurezza nazionale (ACN) hanno emanato alcune Linee Guida in materia “Funzioni Crittografiche e Conservazione delle Password”. Successivamente, con un comunicato del 1° marzo 2024, il […]
aprile 4, 2024
Leggi tutto
intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

Avv. Giuseppe Croari – Dott.ssa Francesca Gattarello Ad oggi sono notoriamente risaputi i vantaggi che l’intelligenza artificiale ha apportato anche nel mondo del lavoro (a tal proposito vi segnaliamo questo articolo). A ciò si aggiunga la maggiore consapevolezza che la società ha acquisito, negli ultimi anni, […]
marzo 28, 2024
Leggi tutto
contratto vendere webinar

Il Contratto come strumento per vendere di più

Hai mai pensato al tuo contratto come a un’arma segreta per il successo? Probabilmente no. La maggior parte delle persone considera il contratto come un ostacolo burocratico, un documento noioso e pieno di “legalese” incomprensibile. Ma se ti dicessi che il tuo contratto può essere molto […]
marzo 15, 2024
Leggi tutto

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.

scopri altri video

Dirittodellinformatica.it è rivista telematica registrata il 08.04.2008 presso il Tribunale di Foggia (n. 10/08 registro periodici, cron. n. 816/08). Proprietari del sito: Gianluigi Fioriglio e Giuseppe Croari. Direttore responsabile: Gerardo Antonio Cavaliere. P.I. Studio Legale Associato Fioriglio-Croari: 02863681207.

Il contenuto del sito è sottoposto a licenza Creative Commons (Attribuzione-Non commerciale-Non opere derivate 3.0 Unported). E' possibile riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare il contenuto del sito purché sia attribuita esplicitamente la paternità di ogni sua singola parte; non sono consentiti utilizzi per fini commerciali, nè alterazioni o trasformazioni del contenuto del sito.

© 2024 dirittodellinformatica.it