Se i rischi residuali sono elevati.
Si è già chiarito che:
- la DPIA è necessaria quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone fisiche (art. 35, paragrafo 1, v. III.B.a). Per esempio, si ritiene che il trattamento su larga scala di dati relativi alla salute possa comportare un rischio elevato, e quindi si rende necessaria una DPIA;
- spetta poi al titolare valutare i rischi per i diritti e le libertà degli interessati e individuare le misure28 previste al fine di ridurre tali rischi a un livello accettabile e dimostrare l’osservanza del regolamento (art. 35, paragrafo 7, v. III.C.c.). Si pensi, per esempio, alla conservazione di dati personali su computer portatili attraverso idonee misure di sicurezza tecniche e organizzative (cifratura dell’intero hard disk, chiavi robuste di autenticazione, idonei controlli sull’accesso, backup sicuri, ecc.) unite alle modalità in essere per quanto concerne informativa, consenso, esercizio del diritto di accesso o di opposizione, ecc.
Nel caso del computer portatile sopra menzionato, se il titolare ritiene che vi sia una sufficiente riduzione dei rischi e sulla base di quanto prevede l’art. 36, paragrafo 1, alla luce dei considerando 84 e 94, si può procedere al trattamento senza consultare l’autorità di controllo. Ove i rischi in precedenza identificati non possano essere gestiti dal titolare in misura sufficiente (ossia, qualora vi sia un elevato rischio residuale) il titolare è tenuto a consultare l’autorità di controllo.
Un esempio di rischio residuale elevato non accettabile [SIC] è dato dalla possibilità che l’interessato patisca conseguenze significative, o addirittura irreversibili, e non eliminabili (per esempio, in caso di accesso illecito ai dati che comporti una minaccia per la vita degli interessati, la perdita o sospensione del rapporto lavorativo, un danno finanziario), e/o dai casi in cui appare evidente che il rischio paventato si manifesterà (per esempio, a causa dell’impossibilità di ridurre il numero di soggetti in grado di accedere ai dati in ragione delle modalità di condivisione, utilizzo o distribuzione di tali dati, ovvero per l’assenza di salvaguardie contro una vulnerabilità ampiamente nota).
Qualora il titolare non sia in grado di individuare misure sufficienti a ridurre il rischio a livelli accettabili (ossia, qualora il rischio residuale continui a permanere elevato), è necessario consultare l’autorità di controllo.
Inoltre, il titolare dovrà consultare l’autorità se il diritto dello Stato membro prevede l’obbligo di consultare e/o ottenere la previa autorizzazione dell’autorità stessa in rapporto a trattamenti svolti da quel titolare per l’esecuzione di compiti nell’interesse pubblico, fra cui i trattamenti connessi alla protezione sociale e alla sanità pubblica (art. 36, paragrafo 5).
Tuttavia, occorre sottolineare che, indipendentemente dall’obbligo di consultare l’autorità di controllo in base al livello di rischio residuale, vale in ogni caso l’obbligo di conservare la documentazione della DPIA e di riesaminare la DPIA periodicamente.