17 Mag Il rapporto fra livello di tutela e rischio nel trattamento dati
Come si è detto in precedenza in capo al titolare del trattamento dei dati personali è imposto l’onere di effettuare una valutazione preliminare dei rischi.
L’art. 35, par. 1 del Regolamento stabilisce che: «Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi».
Il punto di partenza è sempre l’analisi del contesto specifico di riferimento, tenendo conto, in particolare, di una serie di elementi quali, ad esempio:
1. la presenza di big data;
2. la presenza di dati sensibili;
3. l’utilizzo di strumenti di decisione altamente automatizzati;
4. l’impiego di meccanismi di profilazione degli interessati;
5. il trasferimento dei dati verso Stati non appartenenti all’Unione Europea.
All’esito di tale valutazione il titolare del trattamento dovrà individuare le misure concrete che, caso per caso, possano consentire di raggiungere un livello di tutela che sia adeguato a quegli specifici rischi previsti. In particolare, le misure così determinate dovranno essere idonee a minimizzare i rischi individuati, assestandoli ad un livello tollerabile, anche con l’obiettivo di dimostrare la conformità alla disciplina dettata dal Regolamento.
Si è già affermato che nell’eventualità in cui il titolare del trattamento non riesca ad individuare strumenti che consentano di trattare i dati in maniera tale da controbilanciare in modo sufficiente i rischi individuati, cioè quando i rischi «residui» si mantengono particolarmente elevati, il titolare o il responsabile dovranno consultarsi con l’Autorità di controllo alias Garante della Privacy per capire se e come sia possibile procedere ad effettuare quel particolare trattamento (art. 31 par.1 ).