Un preciso compito del titolare del trattamento dei dati personali sarà dunque quello di effettuare una valutazione preliminare dei rischi che ciascun trattamento che il titolare andrà ad effettuare potrebbe comportare per la protezione dei dati personali.
Simile valutazione è necessaria per capire se un trattamento potrebbe presentare un rischio particolarmente elevato per i diritti e le libertà delle persone fisiche e per predisporre misure tecniche ed organizzative adeguate ai rischi prospettati. Questo è quanto previsto infatti dall’art. 35, par. 1 del GDPR, che così stabilisce: “Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi”.
Ma è preliminare a ciò capire quali sono, nelle intenzioni del legislatore europeo, le situazioni in cui un trattamento può determinare un rischio elevato e richiedere, quindi, che sia realizzata una valutazione d’impatto sulla protezione dei dati.
Da questo punto di vista il punto di partenza è sempre l’analisi del contesto specifico di riferimento, tenendo conto, in particolare, di una serie di elementi quali, ad esempio:
-la presenza di big data;
-la presenza di dati sensibili (si pensi, ad esempio, al trattamento di dati sanitari su larga scala);
-l’utilizzo di strumenti di decisione altamente automatizzati;
-l’impiego di meccanismi di profilazione degli interessati;
– il trasferimento dei dati verso Stati non appartenenti all’Unione Europea (e non tutelati quindi dalla sua regolamentazione)
Questi sono tutti elementi che dovrebbero far suonare un campanello d’allarme per i titolari e i responsabili.
Dopo aver fatto una stima di quelli che possono essere i rischi prevedibili per i diritti e le libertà degli interessati derivanti da ciascun trattamento che si vorrebbe effettuare, il titolare del trattamento dovrà individuare le misure concrete che, caso per caso, possano consentire di raggiungere un livello di tutela che sia adeguato a quegli specifici rischi previsti.
In particolare, le misure così determinate dovranno essere idonee a minimizzare i rischi individuati, assestandoli ad un livello tollerabile, anche con l’obiettivo di dimostrare la conformità alla disciplina dettata dal GDPR.
A questo proposito, come sottolineato nelle Linee guida concernenti la valutazione d’impatto sulla protezione dei dati, le misure che dovranno essere concretamente adottate dai titolari al fine di controbilanciare in modo efficace i rischi individuati come probabili, dipenderanno dal singolo e specifico caso, quindi dal contesto particolare, in relazione a quella precisa situazione e a quel preciso trattamento dei dati.
Di conseguenza, strumenti come la pseudonimizzazione o la cifratura dei dati personali, previsti dal GDPR all’art. 32, par. 1, lett. a) come alcune delle misure che possono essere poste in essere al fine di garantire un adeguato livello di sicurezza del trattamento dei dati, non saranno necessariamente appropriate o idonee o sufficienti per garantire la protezione dei dati personali.
Il GDPR si limita, infatti, a fornire un’elencazione esemplificativa delle misure di sicurezza, ma l’unica soluzione accettabile consisterà in decisioni concrete, prese caso per caso.
Quando, poi, il titolare del trattamento non riesca ad individuare strumenti che consentano di trattare i dati in maniera tale da controbilanciare in modo sufficiente i rischi individuati, cioè quando i rischi “residui” si mantengono particolarmente elevati, il titolare o il responsabile dovranno consultarsi con l’Autorità di controllo per capire se e come sia possibile procedere ad effettuare quel particolare trattamento. Questo è previsto, in particolare, dall’art. 36, par. 1 del GDPR (la norma, a questo proposito, dispone che “Il titolare del trattamento, prima di procedere al trattamento, consulta l’autorità di controllo qualora la valutazione d’impatto sulla protezione dei dati a norma dell’articolo 35 indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio”).
Un’ipotesi di questo tipo potrebbe concretizzarsi nel caso in cui si preveda che potrebbero verificarsi, in capo agli interessati, delle conseguenze negative o irreversibili, oppure nel caso in cui sia altamente probabile che un tale rischio si concretizzerà in futuro.
Questa eventualità potrebbe ricorrere, ad esempio, nel caso in cui un accesso illegittimo ai dati personali potrebbe comportare un rischio per la vita o la sicurezza degli interessati, oppure concretizzare un grave rischio di tipo finanziario, o ancora nel caso in cui non sia possibile dare una soluzione soddisfacente ad una criticità o vulnerabilità nota, perché, ad esempio, il numero di persone aventi accesso ai dati personali non può essere diminuito.
In aggiunta a questo, il titolare del trattamento dovrà poi interpellare l’Autorità di vigilanza qualora sia lo stesso diritto dello Stato membro che viene in rilievo nel caso particolare a stabilire che i titolari del trattamento debbano necessariamente consultarsi, oppure ottenere un’autorizzazione preliminare, come potrebbe essere previsto, ad esempio, qualora il titolare del trattamento debba eseguire un compito di interesse pubblico (ad esempio in materia di pubblica sicurezza o di sanità pubblica). Questo è quanto prevede l’art. 36, par. 5 del GDPR che così dispone: “Nonostante il paragrafo 1, il diritto degli Stati membri può prescrivere che i titolari del trattamento consultino l’autorità di controllo, e ne ottengano l’autorizzazione preliminare, in relazione al trattamento da parte di un titolare del trattamento per l’esecuzione, da parte di questi, di un compito di interesse pubblico, tra cui il trattamento con riguardo alla protezione sociale e alla sanità pubblica”.
Le Linee guida sopra richiamate precisano poi anche la circostanza che una tale valutazione di impatto non sarà richiesta, in particolare, per quei trattamenti in corso che erano già stati autorizzati dalle competenti autorità e che non presentino modifiche significative prima del 25 maggio 2018, data in cui il GDPR avrà piena applicazione.