DOMANDA
Quando è obbligatorio interpellare l’Autorità garante dopo aver eseguito una DPIA? Quando il rischio può dirsi elevato?
RISPOSTA
Senza dubbio quando emerge che il trattamento presenta un rischio residuo elevato in assenza di misure per attenuarlo. L’art. 36 del GDPR prevede questo ulteriore adempimento, che costituisce una fase finale della vera e propria procedura DPIA (Data protection impact assessment). È difficile individuare un criterio certo che indichi in modo puntuale quando il rischio residuo sia elevato e, di conseguenza, sorga l’obbligo della consultazione. Il rischio elevato va infatti valutato caso per caso, ed anche per questo ambito vale il principio dell’accountability. Nell’effettuare la DPIA, infatti, il titolare del trattamento individua le misure previste per affrontare i rischi.
Nelle linee guida del Gruppo art. 29 sulla DPIA sono citati degli esempi molto utili per la definizione dei criteri utilizzabili per la valutazione del rischio residuo elevato. Dal loro esame si evince che i criteri di valutazione considerati sono sostanzialmente due:- l’aspettativa di un danno potenziale elevato, che si ha quando all’accadere dell’evento che le misure adottate non sono riuscite ad evitare il danno prodotto comporta delle “conseguenze significative, o addirittura irreversibili, e non eliminabili (per esempio, in caso di accesso illecito ai dati che comporti una minaccia per la vita degli interessati, la perdita o sospensione del rapporto lavorativo, un danno finanziario)”;- la elevata probabilità che l’evento dannoso possa accadere.
Nell’esempio del Gruppo art. 29 tale caso di determina quando appare evidente che il rischio paventato si manifesterà, per esempio, a causa dell’impossibilità di ridurre il numero di soggetti in grado di accedere ai dati in ragione delle modalità di condivisione, utilizzo o distribuzione di tali dati, ovvero per l’assenza di salvaguardie contro una vulnerabilità ampiamente nota. È utile in ogni caso soffermarsi su quest’ultimo esempio desunto dalla linee guida del Gruppo art. 29, in quanto si rileva come non venga richiesto di effettuare una particolare analisi per il calcolo delle probabilità. Non occorrono pertanto particolari calcoli matematici, in quanta è sufficiente che appaia evidente che il rischio possa verificarsi, a causa della constatazione delle circostanze attuali o della considerazione dei precedenti già accaduti. Basta pertanto una valutazione basata sul buon senso e su ciò che risulta evidente già a prima vista.
Ovviamente i due criteri (danno potenziale ed elevata probabilità) devono entrambi essere presenti. Non potrà pertanto essere valutata come situazione di rischio elevato quella in cui il danno ipotetico sia molto grave ma tuttavia con una probabilità estremamente scarsa che possa verificarsi. Così come non si avrà rischio elevato in presenza di un danno molto probabile ma dalle conseguenze tuttavia stimabili come molto lievi.
Mandate i vostri quesiti ai nostri esperti
Quesiti legal: espertolegal@cybersecurity360.it
Quesiti tecnologici: espertotech@cybersecurity360.it
