Il riesame, però, non è necessario solo quando accade un evento che mette a rischio riservatezza, integrità, o disponibilità di uno o più dati personali (cioè quando avviene una violazione dei dati o data breach). Anzi questa è l’eccezione, perché, come vedremo, il riesame è un processo periodico e ordinario.
Il riesame straordinario a seguito di un evento negativo e dell’eventuale attivazione delle procedure di comunicazione al Garante e agli interessati della violazione prescritte dall’art. 33 e 34 del GDPR (vedi par. 9-10) ha, come abbiamo già detto, l’obiettivo non solo di riclassificare l’evento stesso ma anche di definire il trattamento utile a ridurre o eliminare gli effetti della violazione dei dati e, se del caso, le azioni correttive per evitarne il ripetersi in maniera da riportare, entro un periodo di tempo congruo, l’impatto ad un livello accettabile.
Il riesame ordinario della valutazione dell’impatto del trattamento sulla protezione dei dati e delle relative misure adottate è, invece, effettuato periodicamente, in genere una volta all’anno, dal titolare in collaborazione con i responsabili dei trattamenti (se nominati) con l’obiettivo di verificare:
- l’identificazione dei dati e dei trattamenti;
- la stima della possibilità di accadimento di eventi pregiudizievoli e della gravità dei relativi effetti;
- la classificazione dell’impatto dei trattamenti sulla protezione dei dati;
- l’efficacia delle misure adottate;
- la possibilità di migliorare il sistema di controllo e di protezione dei dati sulla base delle informazioni ricavata dal processo stesso al fine di aumentare l’efficacia e l’efficienza del sistema di protezione dei dati.