La normativa in materia di protezione e tutela dei dati personali onera il Titolare del trattamento alla adozione di misure tecniche ed organizzative volte a limitare il più possibile i rischi per gli interessati. L’approccio basato sul rischio si traduce in una analisi preventiva del contesto in cui viene effettuato il trattamento, del grado di probabilità e di gravità dei potenziali rischi ai quali è esposto l’interessato e la predisposizione di piani di azione volti a limitare il verificarsi degli eventi.
Il Regolamento (UE) 2016/679 (GDPR) pone l’accento sulla “responsabilizzazione” (c.d. accountability) del Titolare del trattamento – e del Responsabile – ossia, sull’adozione di comportamenti volti a dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento.
Infatti, l’art. 24 del GDPR, rubricato “Responsabilità del titolare del trattamento” stabilisce che “tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento”.
L’accountability deve caratterizzare il trattamento in tutte le sue fasi, in ciò si esplica il principio della privacy by default and by design ossia la necessità di configurare il trattamento prevedendo sin dall’inizio le garanzie necessarie al soddisfacimento dei requisiti del Regolamento e tutelare i diritti degli interessati tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire al momento in cui si determinano i mezzi del trattamento e si concretizza in una analisi preventiva che deve sostanziarsi in una serie di attività specifiche e dimostrabili.
Fondamentale in questa ottica è l’analisi del rischio concernente il trattamento dei dati personali. Attraverso quest’ultima andranno analizzati non solo i diritti alla protezione dei dati e alla vita privata ma anche diritti fondamentali di rango costituzionali quali la libertà di parola, la libertà di pensiero, la libertà di circolazione il divieto di discriminazione, il diritto alla libertà di coscienza e di religione.
In altri termini, tutti i diritti fondamentali della persona fisica dovranno essere individuati e stimati nell’analisi del rischio, quest’ultimo deve essere valutato attraverso considerazioni di carattere oggettivo.
Con il termine rischio si intende, quindi, uno scenario descrittivo di un evento e delle relative conseguenze, stimate in termini di gravità e probabilità per i diritti e le libertà. Occorre precisare che il rischio non si riferisce al titolare del trattamento, bensì alle diverse categorie di interessati coinvolti nelle operazioni di trattamento dei dati personali.
Qualora l’esito della analisi evidenzi un rischio residuo elevato il Regolamento impone al titolare l’effettuazione di una valutazione di impatto sulla protezione dei dati (Data Protection Impact Asessment – DPIA). Nella ipotesi in cui a seguito della effettuazione della analisi del rischio e della valutazione di impatto residua un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare del trattamento può consultare l’Autorità Garante per la Protezione dei Dati Personali prima di procedere al trattamento. Quest’ultimo risponderà, entro il termine di otto settimane (termine prorogabile di ulteriori sei settimane qualora il trattamento fosse particolarmente complesso), con un parere scritto.
Siamo qui per aiutarTi!
Contattaci