Un preciso compito del titolare del trattamento dei dati personali sarà dunque quello di effettuare una valutazione preliminare dei rischi che ciascun trattamento che il titolare andrà ad effettuare potrebbe comportare per la protezione dei dati personali.

Simile valutazione è necessaria per capire se un trattamento potrebbe presentare un rischio particolarmente elevato per i diritti e le libertà delle persone fisiche e per predisporre misure tecniche ed organizzative adeguate ai rischi prospettati. Questo è quanto previsto infatti dall’art. 35, par. 1 del GDPR, che così stabilisce: “Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi”.

Ma è preliminare a ciò capire quali sono, nelle intenzioni del legislatore europeo, le situazioni in cui un trattamento può determinare un rischio elevato e richiedere, quindi, che sia realizzata una valutazione d’impatto sulla protezione dei dati.

Da questo punto di vista il punto di partenza è sempre l’analisi del contesto specifico di riferimento, tenendo conto, in particolare, di una serie di elementi quali, ad esempio:

-la presenza di big data;

-la presenza di dati sensibili (si pensi, ad esempio, al trattamento di dati sanitari su larga scala);

-l’utilizzo di strumenti di decisione altamente automatizzati;

-l’impiego di meccanismi di profilazione degli interessati;

– il trasferimento dei dati verso Stati non appartenenti all’Unione Europea (e non tutelati quindi dalla sua regolamentazione)

Questi sono tutti elementi che dovrebbero far suonare un campanello d’allarme per i titolari e i responsabili.

Dopo aver fatto una stima di quelli che possono essere i rischi prevedibili per i diritti e le libertà degli interessati derivanti da ciascun trattamento che si vorrebbe effettuare, il titolare del trattamento dovrà individuare le misure concrete che, caso per caso, possano consentire di raggiungere un livello di tutela che sia adeguato a quegli specifici rischi previsti.

In particolare, le misure così determinate dovranno essere idonee a minimizzare i rischi individuati, assestandoli ad un livello tollerabile, anche con l’obiettivo di dimostrare la conformità alla disciplina dettata dal GDPR.

A questo proposito, come sottolineato nelle Linee guida concernenti la valutazione d’impatto sulla protezione dei dati, le misure che dovranno essere concretamente adottate dai titolari al fine di controbilanciare in modo efficace i rischi individuati come probabili, dipenderanno dal singolo e specifico caso, quindi dal contesto particolare, in relazione a quella precisa situazione e a quel preciso trattamento dei dati.

Di conseguenza, strumenti come la pseudonimizzazione o la cifratura dei dati personali, previsti dal GDPR all’art. 32, par. 1, lett. a) come alcune delle misure che possono essere poste in essere al fine di garantire un adeguato livello di sicurezza del trattamento dei dati, non saranno necessariamente appropriate o idonee o sufficienti per garantire la protezione dei dati personali.

Il GDPR si limita, infatti, a fornire un’elencazione esemplificativa delle misure di sicurezza, ma l’unica soluzione accettabile consisterà in decisioni concrete, prese caso per caso.

Quando, poi, il titolare del trattamento non riesca ad individuare strumenti che consentano di trattare i dati in maniera tale da controbilanciare in modo sufficiente i rischi individuati, cioè quando i rischi “residui” si mantengono particolarmente elevati, il titolare o il responsabile dovranno consultarsi con l’Autorità di controllo per capire se e come sia possibile procedere ad effettuare quel particolare trattamento. Questo è previsto, in particolare, dall’art. 36, par. 1 del GDPR (la norma, a questo proposito, dispone che “Il titolare del trattamento, prima di procedere al trattamento, consulta l’autorità di controllo qualora la valutazione d’impatto sulla protezione dei dati a norma dell’articolo 35 indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio”).

Un’ipotesi di questo tipo potrebbe concretizzarsi nel caso in cui si preveda che potrebbero verificarsi, in capo agli interessati, delle conseguenze negative o irreversibili, oppure nel caso in cui sia altamente probabile che un tale rischio si concretizzerà in futuro.

Questa eventualità potrebbe ricorrere, ad esempio, nel caso in cui un accesso illegittimo ai dati personali potrebbe comportare un rischio per la vita o la sicurezza degli interessati, oppure concretizzare un grave rischio di tipo finanziario, o ancora nel caso in cui non sia possibile dare una soluzione soddisfacente ad una criticità o vulnerabilità nota, perché, ad esempio, il numero di persone aventi accesso ai dati personali non può essere diminuito.

In aggiunta a questo, il titolare del trattamento dovrà poi interpellare l’Autorità di vigilanza qualora sia lo stesso diritto dello Stato membro che viene in rilievo nel caso particolare a stabilire che i titolari del trattamento debbano necessariamente consultarsi, oppure ottenere un’autorizzazione preliminare, come potrebbe essere previsto, ad esempio, qualora il titolare del trattamento debba eseguire un compito di interesse pubblico (ad esempio in materia di pubblica sicurezza o di sanità pubblica). Questo è quanto prevede l’art. 36, par. 5 del GDPR che così dispone: “Nonostante il paragrafo 1, il diritto degli Stati membri può prescrivere che i titolari del trattamento consultino l’autorità di controllo, e ne ottengano l’autorizzazione preliminare, in relazione al trattamento da parte di un titolare del trattamento per l’esecuzione, da parte di questi, di un compito di interesse pubblico, tra cui il trattamento con riguardo alla protezione sociale e alla sanità pubblica”.

Le Linee guida sopra richiamate precisano poi anche la circostanza che una tale valutazione di impatto non sarà richiesta, in particolare, per quei trattamenti in corso che erano già stati autorizzati dalle competenti autorità e che non presentino modifiche significative prima del 25 maggio 2018, data in cui il GDPR avrà piena applicazione.

Ultimi aggiornamenti

ransomware data breach pa azienda cosa fare
Il recentissimo attacco subìto dal sito del Comune di Palermo, con notevole esfiltrazione di dati (poi pubblicati online), è solo l’ultimo in ordine di tempo di una lunga scia contro le infrastrutture informatiche, pubbliche o private, italiane. Non più tardi di due mesi fa, infatti, lo […]
L’incertezza degli ultimi anni ha incrementato significativamente la complessità dei rapporti tra aziende e fornitori, mettendo in luce l’importanza di tecniche di approvvigionamento efficienti ed efficaci. Nel gergo aziendalistico, il processo di reperimento dei beni e servizi necessari al funzionamento dell’impresa viene chiamato procurement. Si tratta […]
linee guida accessibilità app norma
L’accessibilità degli strumenti informatici è la capacità degli stessi di erogare servizi e fornire informazioni fruibili, senza discriminazioni, anche da parte di soggetti portatori di disabilità, eventualmente predisponendo le tecnologie o configurazioni particolari necessarie (c.d. tecnologie assistive). Si tratta, com’è ovvio, di un tema di particolare […]

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.