GDPR: Come si determinano livelli di tutela adeguati al rischio (Guida al GDPR 5.4)

Un preciso compito del titolare del trattamento dei dati personali sarà dunque quello di effettuare una valutazione preliminare dei rischi che ciascun trattamento che il titolare andrà ad effettuare potrebbe comportare per la protezione dei dati personali.

Simile valutazione è necessaria per capire se un trattamento potrebbe presentare un rischio particolarmente elevato per i diritti e le libertà delle persone fisiche e per predisporre misure tecniche ed organizzative adeguate ai rischi prospettati. Questo è quanto previsto infatti dall’art. 35, par. 1 del GDPR, che così stabilisce: “Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi”.

Ma è preliminare a ciò capire quali sono, nelle intenzioni del legislatore europeo, le situazioni in cui un trattamento può determinare un rischio elevato e richiedere, quindi, che sia realizzata una valutazione d’impatto sulla protezione dei dati.

Da questo punto di vista il punto di partenza è sempre l’analisi del contesto specifico di riferimento, tenendo conto, in particolare, di una serie di elementi quali, ad esempio:

-la presenza di big data;

-la presenza di dati sensibili (si pensi, ad esempio, al trattamento di dati sanitari su larga scala);

-l’utilizzo di strumenti di decisione altamente automatizzati;

-l’impiego di meccanismi di profilazione degli interessati;

– il trasferimento dei dati verso Stati non appartenenti all’Unione Europea (e non tutelati quindi dalla sua regolamentazione)

Questi sono tutti elementi che dovrebbero far suonare un campanello d’allarme per i titolari e i responsabili.

Dopo aver fatto una stima di quelli che possono essere i rischi prevedibili per i diritti e le libertà degli interessati derivanti da ciascun trattamento che si vorrebbe effettuare, il titolare del trattamento dovrà individuare le misure concrete che, caso per caso, possano consentire di raggiungere un livello di tutela che sia adeguato a quegli specifici rischi previsti.

In particolare, le misure così determinate dovranno essere idonee a minimizzare i rischi individuati, assestandoli ad un livello tollerabile, anche con l’obiettivo di dimostrare la conformità alla disciplina dettata dal GDPR.

A questo proposito, come sottolineato nelle Linee guida concernenti la valutazione d’impatto sulla protezione dei dati, le misure che dovranno essere concretamente adottate dai titolari al fine di controbilanciare in modo efficace i rischi individuati come probabili, dipenderanno dal singolo e specifico caso, quindi dal contesto particolare, in relazione a quella precisa situazione e a quel preciso trattamento dei dati.

Di conseguenza, strumenti come la pseudonimizzazione o la cifratura dei dati personali, previsti dal GDPR all’art. 32, par. 1, lett. a) come alcune delle misure che possono essere poste in essere al fine di garantire un adeguato livello di sicurezza del trattamento dei dati, non saranno necessariamente appropriate o idonee o sufficienti per garantire la protezione dei dati personali.

Il GDPR si limita, infatti, a fornire un’elencazione esemplificativa delle misure di sicurezza, ma l’unica soluzione accettabile consisterà in decisioni concrete, prese caso per caso.

Quando, poi, il titolare del trattamento non riesca ad individuare strumenti che consentano di trattare i dati in maniera tale da controbilanciare in modo sufficiente i rischi individuati, cioè quando i rischi “residui” si mantengono particolarmente elevati, il titolare o il responsabile dovranno consultarsi con l’Autorità di controllo per capire se e come sia possibile procedere ad effettuare quel particolare trattamento. Questo è previsto, in particolare, dall’art. 36, par. 1 del GDPR (la norma, a questo proposito, dispone che “Il titolare del trattamento, prima di procedere al trattamento, consulta l’autorità di controllo qualora la valutazione d’impatto sulla protezione dei dati a norma dell’articolo 35 indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio”).

Un’ipotesi di questo tipo potrebbe concretizzarsi nel caso in cui si preveda che potrebbero verificarsi, in capo agli interessati, delle conseguenze negative o irreversibili, oppure nel caso in cui sia altamente probabile che un tale rischio si concretizzerà in futuro.

Questa eventualità potrebbe ricorrere, ad esempio, nel caso in cui un accesso illegittimo ai dati personali potrebbe comportare un rischio per la vita o la sicurezza degli interessati, oppure concretizzare un grave rischio di tipo finanziario, o ancora nel caso in cui non sia possibile dare una soluzione soddisfacente ad una criticità o vulnerabilità nota, perché, ad esempio, il numero di persone aventi accesso ai dati personali non può essere diminuito.

In aggiunta a questo, il titolare del trattamento dovrà poi interpellare l’Autorità di vigilanza qualora sia lo stesso diritto dello Stato membro che viene in rilievo nel caso particolare a stabilire che i titolari del trattamento debbano necessariamente consultarsi, oppure ottenere un’autorizzazione preliminare, come potrebbe essere previsto, ad esempio, qualora il titolare del trattamento debba eseguire un compito di interesse pubblico (ad esempio in materia di pubblica sicurezza o di sanità pubblica). Questo è quanto prevede l’art. 36, par. 5 del GDPR che così dispone: “Nonostante il paragrafo 1, il diritto degli Stati membri può prescrivere che i titolari del trattamento consultino l’autorità di controllo, e ne ottengano l’autorizzazione preliminare, in relazione al trattamento da parte di un titolare del trattamento per l’esecuzione, da parte di questi, di un compito di interesse pubblico, tra cui il trattamento con riguardo alla protezione sociale e alla sanità pubblica”.

Le Linee guida sopra richiamate precisano poi anche la circostanza che una tale valutazione di impatto non sarà richiesta, in particolare, per quei trattamenti in corso che erano già stati autorizzati dalle competenti autorità e che non presentino modifiche significative prima del 25 maggio 2018, data in cui il GDPR avrà piena applicazione.

FocusGDPRNormativaPrivacy e sicurezza Informatica
Marzo 19, 2018
gdprprivacyRegolamento europeo
logo fclex nero

Scopri anche

Sanzione ad Acea per telemarketing illecito: cosa insegna il caso sul corretto uso dei dati personali

20 Mag
Leggi tutto
aliexpress dropshipping

Il Dropshipping su AliExpress: Tutela del Consumatore e Obblighi del Venditore 

9 Mag
Leggi tutto
intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

28 Mar
Leggi tutto
linee guida agcom influencer

Nuove Linee guida AGCOM per Influencer e Content Creator: Criticità, multe e sfide nel Contesto Giuridico

17 Gen
Leggi tutto
ecommerce sanzioni direttiva omnibus 2023 omnibus

Nuovi obblighi per gli eCommerce: maggiori responsabilità per le imprese e tutele per i consumatori

14 Apr
Leggi tutto
recesso contratto clausola ecommerce limite

Diritto di recesso dal contratto: limiti e clausola di recesso

6 Apr
Leggi tutto

Ultimi aggiornamenti

cookie rtd privacy conservazione 2022

Privacy aziendale: 45 minuti per essere a norma

Gestire un data breach o affrontare un’ispezione del Garante non è semplice. Sono momenti delicati, in cui ogni scelta incide su responsabilità, sanzioni e reputazione aziendale. Dopo anni di esperienza nella messa a norma e nella gestione operativa di queste situazioni, abbiamo deciso di raccogliere casi concreti, criticità ricorrenti e soluzioni efficaci per organizzare un […]
Febbraio 24, 2026
Leggi tutto
controlli difensivi privacy dipendenti

Dati personali e servizi essenziali: il Garante richiama le aziende al rispetto del GDPR

Avv. Giuseppe Croari – Dott.ssa Silvia Di Paola   Il Garante per la protezione dei dati personali è recentemente intervenuto sanzionando una società concessionaria di servizi idrici e di gestione dei rifiuti con una multa di 300.000 euro, a causa dell’inadeguatezza delle misure di sicurezza, della […]
Gennaio 20, 2026
Leggi tutto
tutela nome dominio

Registrazione di un nome a dominio in malafede: quando prevale il marchio?

Avv. Giuseppe Croari – Avv. Ilenia Lanari Nell’era della digitalizzazione, il nome rappresenta spesso il primo vero asset di un progetto: che si tratti di un nome a dominio, di un’applicazione, di un servizio online o di una piattaforma. In particolare, oggi il nome a dominio […]
Dicembre 17, 2025
Leggi tutto

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.

scopri altri video

Dirittodellinformatica.it è rivista telematica registrata il 08.04.2008 presso il Tribunale di Foggia (n. 10/08 registro periodici, cron. n. 816/08). Proprietario del sito: Giuseppe Croari. Direttore responsabile: Gerardo Antonio Cavaliere. P.I. Studio Legale FCLEX: 02863681207.

Il contenuto del sito è sottoposto a licenza Creative Commons (Attribuzione-Non commerciale-Non opere derivate 3.0 Unported). E' possibile riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare il contenuto del sito purché sia attribuita esplicitamente la paternità di ogni sua singola parte; non sono consentiti utilizzi per fini commerciali, nè alterazioni o trasformazioni del contenuto del sito.

© 2026 dirittodellinformatica.it