2(29) per “rischio sostanziale per la privacy” si intende la raccolta, il trattamento o il trasferimento dei dati in un modo che può comportare un danno fisico materiale ragio- nevolmente prevedibile, un danno economico, un’intrusione altamente offensiva nelle ragionevoli aspettative di privacy di un individuo in base alle circostanze, o una discri- minazione sulla base di razza, colore, religione, origine nazionale, sesso o disabilità); 4. implementino una formazione e misure ragionevoli all’interno della struttura del ti- tolare o del responsabile del trattamento per promuovere la conformità a tutte le leggi sulla privacy applicabili ai dati oggetto di raccolta, trattamento e trasferimento. Dunque le “politiche, pratiche e procedure” che tanto il titolare quanto il responsabile del trattamento devono redigere, sviluppare e attuare includono un approccio risk based onde evitare sia i rischi ordinari che quelli che nella terminologia GDPR sarebbero i “rischi ele- vati” e che corrispondono nel testo normativo USA ai “ substantial privacy risks ” come sopra definiti, idonei a determinare più rilevanti danni materiali, immateriali o di altro tipo op- pure discriminazioni (sono gli stessi danni che il Considerando 75 del GDPR elenca come aventi probabilità e rischi diversi). Per valutare l’adeguatezza e la compliance all’obbligo di dotarsi di politiche, pratiche e procedure ragionevoli riguardo alla raccolta, trattamento e trasferimento dei dati la stessa section 103 elenca i cosiddetti “fattori da considerare”, e cioè: 1. le dimensioni del titolare o del responsabile del trattamento e la natura, la portata e la complessità delle attività svolte dal titolare, compreso il fatto che si tratti eventual- mente di un grande detentore di dati (“ Large Data Holder ”), oppure di un’organizzazio- ne senza scopo di lucro, o di un titolare rappresentato da una piccola impresa o – infine - di una terza parte o di un’entità di raccolta terza; 2. se i dati oggetto di raccolta, trattamento o trasferimento da parte del titolare o del re- sponsabile sono sensibili o meno; 3. il volume dei dati raccolti, elaborati o trasferiti da parte del titolare o del responsabile; 4. il numero di persone e dispositivi a cui si riferiscono i dati oggetto di raccolta, tratta- mento o trasferimento da parte del titolare o del responsabile; e 5. il costo dell’implementazione di tali politiche, pratiche e procedure in relazione ai ri- schi e alla natura dei dati. Sarà interessante vedere cosa diranno in merito le Linee Guida che la Federal Trade Com- missio n dovrà emanare entro un anno dalla data di adozione dell’ADPPA e che dovranno indicare in cosa consistono le “ragionevoli politiche, pratiche e procedure”.
36
Made with FlippingBook Online newsletter maker