consultazione-preventiva-garante

Come abbiamo imparato a capire, il nuovo Regolamento fonda le sue basi sul concetto di accountability e delega al titolare moltissime valutazioni e responsabilità.
Il Titolare dal 24 maggio 2018 dovrà fare un’attenta valutazione per censire le tipologie di dati personali trattati dalla sua azienda/organizzazione per poi definire tutte le procedure, gli strumenti e i controlli necessari alla tutela di questi dati.

L’obiettivo è quello di rendere più vicino possibile allo zero il rischio di procurare danni alle libertà e ai diritti o all’Interessato. La DPIA (protection impact assesment) sebbene NON obbligatoria per tutte le aziende, è forse lo strumento più indicato per compiere una valutazione puntuale dello stato di fatto (AS IS) perché pone la sua attenzione sui RISCHI legati ad un trattamento e li valuta al netto delle attività poste in essere o pianificate per contenerlo e ridimensionarlo. Sebbene NON obbligatoria per tutte le aziende, può essere un ottimo strumento di supporto per il Titolare del trattamento e per il suo Staff (DPO, privacy manager, privacy specialist).

Quando la DPIA deve essere integrata con un Parere Preventivo

L’immagine qui sotto riporta una schematizzazione del Garante che ci dice:

  1. Chi deve fare la DPIA
  2. In quali casi la DPIA non è sufficiente ma richiede un ulteriore approfondimento col Garante?

quando-fare-DPIA-2Come si può vedere, assodata la necessità per un’azienda di fare la DPIA, si possono presentare due differenti scenari:

  1. La Valutazione del Rischio definisce che NON sono presenti rischi elevati residuali, e quindi sostanzialmente il Trattamento rientra in uno stato di “sicurezza”.
  2. La valutazione del Rischio evidenzia una situazione finale con “Rischio elevato residuale” ed è quindi necessario procedere con una consultazione preventiva con il Garante.

L’articolo 36 del nuovo GDPR specifica che:

1. Il titolare del trattamento, prima di procedere al trattamento, consulta l’autorità di controllo qualora la valutazione d’impatto sulla protezione dei dati a norma dell’articolo 35 indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio.

2. Se ritiene che il trattamento previsto di cui al paragrafo 1 violi il presente regolamento, in particolare qualora il titolare del trattamento non abbia identificato o attenuato sufficientemente il rischio, l’autorità di controllo fornisce, entro un termine di otto settimane dal ricevimento della richiesta di consultazione, un parere scritto al titolare del trattamento e, ove applicabile, al responsabile del trattamento e può avvalersi dei poteri di cui all’articolo 58. Tale periodo può essere prorogato di sei settimane, tenendo conto della complessità del trattamento previsto. L’autorità di controllo informa il titolare del trattamento e, ove applicabile, il responsabile del trattamento di tale proroga, unitamente ai motivi del ritardo, entro un mese dal ricevimento della richiesta di consultazione. La decorrenza dei termini può essere sospesa fino all’ottenimento da parte dell’autorità di controllo delle informazioni richieste ai fini della consultazione.

Come si legge, la richiesta di parere preventivo comporta una risposta da parte delle autorità nella tempistica di 8 settimane + 6 settimane qualora il trattamento comportasse particolari complessità.

 

Ma cosa dobbiamo comunicare al Garante nella richiesta di parere preventivo?

Sempre l’ART 36 del Regolamento definisce quali siano le informazioni che i TITOLARE deve necessariamente comunicare affinché si possa ottenere il parere del Garante:

a) ove applicabile, le rispettive responsabilità del titolare del trattamento, dei contitolari del trattamento e dei responsabili del trattamento, in particolare relativamente al trattamento nell’ambito di un gruppo imprenditoriale;

b) le finalità e i mezzi del trattamento previsto;

c) le misure e le garanzie previste per proteggere i diritti e le libertà degli interessati a norma del presente regolamento;

d) ove applicabile, i dati di contatto del titolare della protezione dei dati

e) la valutazione d’impatto sulla protezione dei dati di cui all’articolo 35; – Nota: DPIA

f) ogni altra informazione richiesta dall’autorità di controllo

 

Ulteriori specifiche in merito alla consultazione preventiva

Come ulteriore specifica, i punti 4 e 5 dell’ART 36 specificano altri casi in cui è prevista la Consultazione preventiva:

4. Gli Stati membri consultano l’autorità di controllo durante l’elaborazione di una proposta di atto legislativo che deve essere adottato dai parlamenti nazionali o di misura regolamentare basata su detto atto legislativo relativamente al trattamento.

5. Nonostante il paragrafo 1, il diritto degli Stati membri può prescrivere che i titolari del trattamento consultino l’autorità di controllo, e ne ottengano l’autorizzazione preliminare, in relazione al trattamento da parte di un titolare del trattamento per l’esecuzione, da parte di questi, di un compito di interesse pubblico, tra cui il trattamento con riguardo alla protezione sociale e alla sanità pubblica.

Questo significa che, in casi di particolare rilevanza, come gli atti legislativi e/o trattamenti di dati personali con possibile impatto sulla protezione sociale e sulla sanità pubblica possa comunque essere prevista la necessità di una consultazione preventiva con il Garante.

 

Si segnala un articolo di approfondimento del Sole 24 ore in merito alla DPIA e alla verifica preliminare 

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!