EntiOnLine
Categorie
indietro
04/10/2017 GARANTE: DPIA - Consultazione dell'autorita' di controllo

Quando e' necessario consultare l'autorita' di controllo?

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

E' necessario consultare l'autorita' di controllo

  • Quando i rischi residui sono elevati.

Come spiegato in precedenza e' necessario realizzare una valutazione d'impatto sulla protezione dei dati quando il trattamento "puo' presentare un rischio elevato per i diritti e le liberta' delle persone fisiche" (articolo 35, paragrafo 1; cfr. III.B.a).

A titolo di esempio, il trattamento di dati sanitari su larga scala e' considerato un trattamento tale da presentare un rischio elevato e richiede la realizzazione di una valutazione d'impatto sulla protezione dei dati; di conseguenza, spetta al titolare del trattamento valutare i rischi per i diritti e le liberta' degli interessati e individuale le misure(29) previste per attenuare tali rischi a un livello accettabile e per dimostrare la conformita' rispetto al regolamento generale sulla protezione dei dati (articolo 35, paragrafo 7; cfr. III.C.c). Un esempio, in caso di conservazione di dati personali su computer portatili, potrebbe essere l'utilizzo di adeguate misure di sicurezza tecniche e organizzative (crittografia efficace completa del disco, gestione di chiavi robuste, opportuno controllo degli accessi, backup protetti, ecc.) oltre al ricorso a politiche esistenti (avviso, consenso, diritto di accesso, diritto di opposizione, ecc.).

Nell'esempio sopra riportato relativo ai computer portatili, qualora i rischi siano stati considerati sufficientemente attenuati dal titolare del trattamento e in seguito alla lettura dell'articolo 36, paragrafo 1 e dei considerando 84 e 94, il trattamento puo' procedere senza la consultazione dell'autorita' di controllo. E' nei casi in cui il titolare del trattamento non riesca a trattare in maniera sufficiente i rischi individuati (ossia i rischi residui rimangono elevati) che questi deve consultare l'autorita' di controllo.

Un esempio di un rischio residuo elevato inaccettabile include casi in cui gli interessati possano subire conseguenze significative, o addirittura irreversibili, che non possono superare (ad esempio: accesso illegittimo a dati che comportano una minaccia per la vita degli interessati, un loro licenziamento, un rischio finanziario) e/o quando appare evidente che il rischio si verifichera' (ad esempio: poiche' non si e' in grado di ridurre il numero di persone che accedono ai dati a causa delle loro modalita' di condivisione, utilizzo o distribuzione o quando non si puo' porre rimedio a una vulnerabilita' ben nota).

Ogni qualvolta il titolare del trattamento non e' in grado di trovare misure sufficienti per ridurre i rischi a un livello accettabile (ossia i rischi residui restano comunque elevati) e' necessario consultare l'autorita' di controllo(30).

(29) Tra le quali si annoverano la considerazione degli orientamenti esistenti formulati dal comitato europeo per la protezione dei dati e dalle autorita' di controllo, nonche' dello stato dell'arte e dei costi di attuazione, come previsto dall'articolo 35, paragrafo 1.

(30) Nota: "la pseudonimizzazione e la cifratura dei dati personali" (cosi' come la minimizzazione dei dati, meccanismi di controllo, ecc.) non sono necessariamente misure appropriate. Sono soltanto esempi. Le misure adeguate dipendono dal contesto e dai rischi, aspetti specifici dei trattamenti effettuati.

Inoltre, il titolare del trattamento dovra' consultare l'autorita' di vigilanza qualora il diritto dello Stato membro in questione prescriva che i titolari del trattamento consultino l'autorita' di controllo e/o ne ottengano l'autorizzazione preliminare, in relazione al trattamento da parte di un titolare del trattamento per l'esecuzione, da parte di questi, di un compito di interesse pubblico, tra cui il trattamento con riguardo alla protezione sociale e alla sanita' pubblica (articolo 36, paragrafo 5).

Occorre tuttavia sottolineare che, indipendentemente dal fatto che la consultazione dell'autorita' di controllo sia richiesta o meno in base al livello di rischio residuo, sussistono comunque gli obblighi di conservare una registrazione della valutazione d'impatto sulla protezione dei dati e di aggiornamento di detta valutazione al momento opportuno.

Conclusioni e raccomandazioni

Le valutazioni d'impatto sulla protezione dei dati sono uno strumento utile di cui dispongono i titolari del trattamento per attuare sistemi di trattamento dei dati conformi al regolamento generale sulla protezione dei dati e possono essere obbligatorie per talune tipologie di trattamenti. Hanno natura modulabile e possono assumere forme diverse, tuttavia il regolamento generale sulla protezione dei dati stabilisce i requisiti essenziali di una valutazione d'impatto sulla protezione dei dati efficace. I titolari del trattamento dovrebbero considerare la realizzazione di una valutazione d'impatto sulla protezione dei dati come un'attivita' utile e positiva che contribuisce alla conformita' giuridica.

L'articolo 24, paragrafo 1, definisce la responsabilita' fondamentale del titolare del trattamento in termini di rispetto del regolamento generale sulla protezione dei dati: "Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalita' del trattamento, nonche' dei rischi aventi probabilita' e gravita' diverse per i diritti e le liberta' delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento e' effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario".

La valutazione d'impatto sulla protezione dei dati e' un aspetto fondamentale del rispetto del regolamento laddove si preveda di svolgere o si stia svolgendo un trattamento di dati soggetto a rischio elevato. Cio' significa che i titolari del trattamento dovrebbero utilizzare i criteri stabiliti nel presente documento per stabilire se devono realizzare una valutazione d'impatto sulla protezione dei dati o meno. La politica interna dei titolari del trattamento potrebbe estendere questo elenco andando oltre i requisiti giuridici sanciti dal regolamento generale sulla protezione dei dati. Cio' dovrebbe suscitare un maggior senso di fiducia e riservatezza negli interessati e in altri titolari del trattamento.

Qualora si preveda di effettuare un trattamento che possa presentare un rischio elevato, il titolare del trattamento deve:

  • scegliere una metodologia per la valutazione d'impatto sulla protezione dei dati (esempi riportati nell'allegato 1) che soddisfi i criteri di cui all'allegato 2, oppure specificare ed attuare un processo sistematico di valutazione d'impatto sulla protezione dei dati che: o sia conforme ai criteri di cui all'allegato 2; o sia integrata nei processi in materia di progettazione, sviluppo, cambiamento, rischio e riesame operativo in conformita' con i processi, il contesto e la cultura interni; o coinvolga le parti interessate appropriate e definisca chiaramente le loro responsabilita' (titolare del trattamento, responsabile della protezione dei dati, interessati o loro rappresentanti, imprese, servizi tecnici, responsabili del trattamento, responsabile della sicurezza dei sistemi d'informazione, ecc.);

  • fornire la relazione relativa alla valutazione d'impatto sulla protezione dei dati all'autorita' di controllo, laddove gli venga richiesto di procedere in tal senso;

  • consultare l'autorita' di controllo, qualora il titolare del trattamento non sia riuscito a determinare misure sufficienti per attenuare i rischi elevati riesaminare periodicamente la valutazione d'impatto sulla protezione dei dati e il trattamento che essa valuta, almeno quando si registra una variazione del rischio posto dal trattamento documentare le decisioni prese.

Fonte: Autorità Garante - Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilita' che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679

Banca dati