Art. 36 GDPR — Consultazione preventiva

Commento

La consultazione come escalation

L'art. 36 GDPR introduce la consultazione preventiva del Garante: il titolare consulta l'Autorità di controllo prima di procedere a un trattamento qualora la DPIA (art. 35) indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate per mitigarlo. È meccanismo di escalation: quando la DPIA non riesce a ridurre il rischio entro soglie accettabili, il Garante interviene preventivamente per fornire indicazioni o, in casi estremi, vietare il trattamento. La consultazione è strumento di governance condivisa.

Quando consultare (par. 1)

Il par. 1 fissa la regola: la consultazione è obbligatoria quando la DPIA indica rischio elevato residuo nonostante le misure di mitigazione. La valutazione del rischio residuo è onere del titolare, supportato dal DPO. Il considerando 94 chiarisce che la consultazione non è dovuta per ogni DPIA, ma solo quando il rischio residuo è elevato. Le linee guida EDPB hanno specificato i criteri: probabilità di concretizzazione del danno, gravità del danno, vulnerabilità degli interessati, novità tecnologica.

Contenuto della consultazione (par. 3)

Il par. 3 elenca il contenuto della consultazione: ove applicabile, le rispettive responsabilità del titolare, dei contitolari e dei responsabili coinvolti nel trattamento, in particolare per il trattamento nell'ambito di un gruppo; le finalità e i mezzi del trattamento previsto; le misure e le garanzie previste per proteggere i diritti e le libertà degli interessati; ove applicabile, i dati di contatto del DPO; la valutazione di impatto effettuata ex art. 35; ogni altra informazione richiesta dall'Autorità di controllo.

Parere del Garante (par. 2)

Il par. 2 prevede che il Garante, se ritiene che il trattamento violerebbe il Regolamento, in particolare laddove il titolare non abbia identificato o attenuato sufficientemente il rischio, fornisca per iscritto un parere al titolare entro un periodo massimo di otto settimane dal ricevimento della richiesta di consultazione. Il termine può essere prorogato di sei settimane per trattamenti complessi. Durante questo periodo, il titolare non può procedere al trattamento. Il Garante può esercitare i poteri dell'art. 58 (avvertimenti, limitazioni, divieto).

Rapporto con DPIA (art. 35)

La consultazione si coordina con la DPIA: la DPIA è prerequisito (par. 1), la consultazione è step successivo se necessario. La DPIA documenta il processo decisionale; la consultazione formalizza il dialogo con il Garante. In molti casi la DPIA stessa, se ben condotta, evita la necessità di consultazione: identificare e mitigare i rischi in fase di design riduce il rischio residuo. La governance privacy moderna integra DPIA, consultazione e cooperazione (art. 31) in un sistema unitario.

Casi pratici e prassi

Sul piano applicativo, le consultazioni sono relativamente rare ma di grande rilievo. Casi tipici: nuove tecnologie biometriche su larga scala, sistemi AI ad alto impatto, smart cities con sorveglianza pervasiva, ricerca medica con dati sensibili su popolazioni vulnerabili, sistemi di profilazione di minori. Il Garante italiano ha emesso pareri pubblicati (FSE, smart city, biometria di accesso) che diventano riferimento di prassi per gli operatori. La consultazione è anche opportunità per il titolare: il parere del Garante riduce il rischio sanzionatorio successivo.

Regola pratica e checklist operativa

Compliance art. 36: (i) trigger esplicito nella DPIA per rischio residuo elevato; (ii) preparazione della documentazione completa; (iii) cooperazione attiva con il Garante; (iv) attuazione delle indicazioni del parere; (v) tracciamento per accountability; (vi) per progetti strategici, scelta proattiva di consultazione. Il parere del Garante è scudo legale.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.