17 Mag Le procedure obbligatorie per la valutazione e la prevenzione del rischio
Il Regolamento introduce una serie di obblighi che derivano essenzialmente dal più generale principio accountability.
Si ricorda l’evidenziato approccio ad una valutazione preliminare del rischio ed alla conseguente determinazione delle misure da applicare al trattamento dei dati.
Il titolare ed il responsabile del trattamento sono, sotto diversi aspetti, incentivati ad adottare una serie di provvedimenti finalizzati a dare concreta ottemperanza alle disposizioni del Regolamento. La valutazione e la prevenzione del rischio possono avvenire per effetto di una revisione completa dei dati e delle informazioni. Le aziende devono raccogliere, gestire e verificare su base normativa i trattamenti e le conseguenze che il trattamento dei dati effettuato può comportare per gli interessati.
Tra gli adempimenti da porre in essere troviamo:
1. la verifica dei dati che saranno oggetto di trattamento, con identificazione delle varie tipologie di dati e delle categorie di appartenenza e la verifica della finalità di ogni trattamento e della base giuridica sul quale ciascuno di essi si fonda, anche al fine di rendere adeguata informativa ai soggetti interessati, come previsto dagli artt. 13 e 14 del Regolamento (dedicati, rispettivamente, alle informazioni da fornire qualora i dati personali siano raccolti – art. 13 – o meno – art. 14 – presso l’interessato);
2. la predisposizione dell’informativa ovvero l’aggiornamento che deve essere fornita agli interessati nel rispetto di tutti gli elementi indicati agli artt. 13 e 14 del Regolamento, in particolare gli interessati dovranno essere messi a conoscenza dei diritti che il Regolamento riconosce loro, quali: diritto di accesso, diritto all’oblio, diritto di rettifica, diritto di limitazione e di opposizione al trattamento, diritto alla portabilità dei dati;
3. la predisposizione del registro delle attività di trattamento dei dati personali, qualora esso risulti necessario in base al disposto dell’art. 30 del Regolamento, ossia nel caso in cui l’impresa o l’organizzazione che effettua il trattamento dei dati abbia più di 250 dipendenti. Tale registro dovrà, del resto, essere redatto anche nel caso in cui l’impresa od organizzazione abbia meno di 250 dipendenti, ma ponga in essere un trattamento dei dati che presenta un potenziale rischio per i diritti e libertà degli interessati;
4. l’instaurazione di una procedura da adottare in caso di eventuali violazioni dei dati c.d. data breach, ad esempio al verificarsi di divulgazione, distruzione, perdita, modifica o accesso non autorizzato ai dati personali oggetto di trattamento. Il Regolamento prevede infatti degli specifici adempimenti nel caso in cui si verifichi una violazione di tal genere, a causa di un attacco informatico, di un accesso abusivo o di un incidente. Al verificarsi di una violazione il Regolamento impone, come previsto dall’art. 33, in capo al titolare del trattamento l’obbligo di comunicare all’autorità di controllo l’avvenuta violazione entro 72 ore o comunque senza ritardo.
L’art. 33, co. 1 del Regolamento stabilisce:
«In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro72 ore, è corredata dei motivi del ritardo».
L’art. 35, co. 1 del Regolamento stabilisce che:
«Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi».
Del resto, il Regolamento non sancisce un vero e proprio obbligo di svolgimento della valutazione d’impatto, ma si ricorda che il Regolamento prevede un generale obbligo, in capo al titolare del trattamento, di attuare le misure idonee al fine di gestire adeguatamente i rischi per i diritti e le libertà degli interessati che possono derivare dal trattamento dei loro dati. Sarà quindi opportuno procedere all’effettuazione della valutazione d’impatto anche quando sul titolare non incombe l’obbligo normativo in tale senso.
5. designazione del Responsabile della protezione dei dati. Tale nomina è, come previsto dall’art. 37 dal Regolamento obbligatoria soltanto in una serie di ipotesi, in particolare: nel caso in cui il trattamento dei dati sia effettuato da un’autorità pubblica o da un organismo pubblico; quando le attività principali svolte del titolare o del responsabile del trattamento consistono in operazioni che per la loro natura richiedono un monitoraggio regolare e sistematico degli interessati su larga scala e nel caso in cui le attività principali effettuate consistano nel trattamento, su larga scala, di dati sensibili o di dati relativi a condanne penali e a reati consistenti nell’illecito trattamento dei dati personali.