Art. 35: il Garante si adegua al GDPR

Sbaglia e dimostra una conoscenza superficiale dell’argomento chi considera il GDPR un testo normativo esclusivamente rivolto a imprese private e pubbliche amministrazioni.  

Tra i destinatari del regolamento europeo spiccano anche altri soggetti. Tra questi figura senz’altro il Garante per la protezione dei dati personali chiamato come gli altri a rispondere a determinati obblighi derivanti dalle norme del Regolamento Europeo per la protezione dei dati personali.

Tra gli esempi più attuali e importanti del momento approfondiamo l’adempimento previsto all’art.35, cioè la pubblicazione da parte dell’autorità di controllo nazionale di un elenco contenente le attività di trattamento di dati personali per cui risulta obbligatoria la redazione della DPIA o valutazione di impatto privacy in base al Regolamento.

In questo articolo cerchiamo di capire di cosa si tratta svelando il procedimento che si nasconde dietro quest’azione, attesa da tempo dagli operatori del settore.  

L’applicazione del meccanismo di coerenza

L’art 35 del GDPR titolato “Valutazione d’impatto sulla protezione dei dati” stabilisce in capo al titolare del trattamento l’obbligo generale di effettuare una valutazione d’impatto (Data Protection Impact Assessment o DPIA) per tutti quei trattamenti che possono presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Il legislatore europeo all’interno del regolamento non ha specificato in maniera dettagliata le situazioni in cui risulta obbligatoria la redazione della DPIA ma ha indicato una serie di criteri generali presenti nell’art. 35 del GDPR.

A questi criteri si sommano anche le Linee Guida presenti nel white paper 248 del gruppo di lavoro WP29, ora sostituito dall’EDPB (European Data Protection Board), che attraverso 9 criteri maggiormente dettagliati ha indicato una serie di situazioni in cui la DPIA può risultare necessaria se, all’interno di un singolo trattamento, sono presenti almeno due di questi 9 criteri individuati.

A questo quadro normativo europeo si aggiunge anche l’ulteriore e già citato obbligo previsto all’art 35, §4 del regolamento, che richiede ad ogni Autorità di Controllo Nazionale di redigere un proprio elenco di trattamenti con lo scopo di contestualizzare gli obblighi in materia di valutazione d’impatto con la normativa nazionale.

A partire da quest’obbligo si inserisce così il meccanismo di coerenza previsto dall’art. 63 GDPR.

Esso impone, per salvaguardare l’Unione Europea da incoerenze normative e da eventuali pregiudizi sulla libera circolazione dei dati personali, di sottoporre gli elenchi prodotti dalle autorità nazionali,in base al paragrafo 4 dell'art 35, al Comitato Europeo per la protezione dei dati che ha il compito di garantirne la coerenza.

E così è successo. L’Italia insieme ad alte 21 nazioni ha sottoposto il proprio elenco al Comitato Europeo. Cosa è venuto fuori e quali sono questi trattamenti?

Quando è obbligatoria la valutazione d’impatto?

Premessa necessaria e doverosa: l’elenco presentato al Comitato Europeo ed approvato dallo stesso, non rappresenta un cambio di rotta, né una radicale novità rispetto a quanto già sancito.

Si tratta di una specificazione e di un’ulteriore precisazione delle linee guida già tracciate dal gruppo dei Garanti Europei nel white paper n° 248.

In questa sede non ci sembra necessario riportare per intero tutte le tipologie di trattamento (in totale 12, per conoscerle clicca qui) che compongono un elenco che tra l’altro non è esaustivo.

Ci sembra invece opportuno evidenziare i principi e i criteri adottati dal Comitato per individuarle. Infatti dovranno essere gli stessi principi a guidare aziende e consulenti nella decisione di compilare o meno la valutazione d'impatto privacy (DPIA).

Di seguito le principali conclusioni emerse:

• Gli elenchi indicati nelle linee guida europee e dall’autorità di controllo non sono da considerarsi esaustivi ma solo esemplificativi.‍‍
  

• Il trattamento di dati biometrici necessita di DPIA solo se utilizzati per l’identificazione univoca di un soggetto ed in combinazione con almeno un altro criterio delle linee guida.
  

• I trattamenti di dati genetici, relativi all’ubicazione o l’uso di tecnologie innovative non rappresentando di per sé un rischio elevato, richiedono l’esecuzione di una DPIA solamente se associati ad almeno un altro criterio.
  

• Il monitoraggio dei dipendenti che soddisfa il criterio della vulnerabilità degli interessati al trattamento e quello del monitoraggio sistematico può richiedere una DPIA

• I trattamenti dati tramite terze parti che potrebbero privare gli interessati dei loro diritti, se combinati con un altro criterio, rappresentano un rischio elevato.
  

Come accennato gli elenchi proposti dal gruppo di lavoro Europeo e dal Garante per la protezione dei dati personali non sono esaustivi e non eliminano la discrezionalità di aziende e consulenti nello stabilire la necessità o meno di redigere una valutazione d'impatto per determinati trattamenti.

Rappresentano soltanto un ulteriore strumento di supporto e di guida. Ancora una volta una spazio decisionale autonomo e riservato al singolo titolare. Dinamica comune e ricorrente in questa nuova era della protezione dei dati basata sul principio dell'accountability.

Ora che conosci meglio i criteri e i principi che stanno alla base di una DPIA, non rimane che approfondire un metodo specifico per effettuare una valutazione d’impatto.

Per scoprirlo clicca qui.

‍