28 Ott Il Comitato Europeo per la Protezione dei Dati stabilisce criteri comuni per gli elenchi di trattamenti soggetti al requisito di una valutazione d’impatto

In breve

Il 26 settembre 2018 il Comitato Europeo per la Protezione dei Dati (il “Comitato”) ha adottato tanti Pareri quanti sono gli elenchi, proposti dalle rispettive autorità nazionali di controllo, di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati (Data Protection Impact Assessment o “DPIA”). I Pareri, che derivano dall’obbligo per le autorità di controllo di adottare un elenco delle attività di trattamento soggette all’obbligo di un DPIA (articolo 35, comma 4  GDPR) e dall’applicazione del meccanismo di coerenza di cui agli Articoli 35, comma 5 e 64, comma 1, lett. a) del GDPR, sono in linea con le precedenti Linee Guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento possa “presentare un rischio elevato” ai fini del Regolamento (UE) 2016/679  pubblicate dal Gruppo di Lavoro ex Art. 29 (“A29WP“, oggi Comitato Europeo per la Protezione dei Dati) il 4 aprile 2017 e modificate il successivo 4 ottobre (di seguito: “WP248“). I Pareri del Comitato e le precedenti Linee Guida individuano ed armonizzano una serie di trattamenti per i quali è indubbiamente richiesto un DPIA, al fine di garantire un’applicazione coerente della normativa in materia di protezione dei dati in tutta l’Unione.

Background

L’articolo 35, comma 1 del Regolamento Generale sulla Protezione dei Dati Personali 679/2016 (“GDPR“) impone ai titolari del trattamento di effettuare una valutazione dell’impatto dei trattamenti che intendono porre in essere e che possono “presentare un rischio elevato per i diritti e le libertà delle persone fisiche”. I tipi di trattamento soggetti a tale obbligo sono illustrati nell’articolo 35, comma 3 e nelle pertinenti Linee Guida del WP29 – che abbiamo illustrato in questo articolo – hanno chiarito ulteriormente i criteri che possono aiutare l’individuazione dei casi in cui tale valutazione deve essere svolta.

Inoltre, ai sensi dell’articolo 35, comma 4 GDPR, le Autorità di Controllo Nazionali (“A.A.C.C.”) devono redigere un proprio elenco delle operazioni di trattamento soggette alla DPIA. Ciò consente alle A.A.C.C. un margine di discrezionalità con riferimento al contesto legislativo nazionale o locale. Tuttavia, tale discrezionalità potrebbe comportare delle incoerenze all’interno dell’Unione Europea, e pertanto incidere negativamente sulla libera circolazione dei dati personali.

A tal fine, l’adozione di tali elenchi è soggetta al meccanismo di coerenza previsto dall’articolo 63 GDPR, che impone alle A.A.C.C., ai sensi dell’articolo 64, comma 1, lettera a) GDPR, di sottoporre i relativi elenchi al parere del Comitato, che quindi provvederà a garantire la coerenza di tali elenchi in tutta l’Unione. A questo proposito, tuttavia, l’articolo 35, comma 6, limita l’applicazione del meccanismo di coerenza alle sole attività di trattamento che:

1. sono finalizzate all’offerta di beni o servizi a interessati oppure
2. sono finalizzate al monitoraggio del loro comportamento in più Stati Membri, oppure
3. possono incidere significativamente sulla libera circolazione dei dati personali all’interno dell’Unione.

Punti principali

In primis, il Comitato afferma che i tipi di trattamento che non rientrano nel campo di applicazione dell’articolo 35, comma 6 (ossia i trattamenti che avvengono necessariamente a livello locale o che riguardano esclusivamente la legislazione nazionale o l’applicazione della legge) non sono oggetto d’esame nei Pareri.

Inoltre, il Comitato afferma che, ai sensi dell’articolo 35, comma 10, nel caso in cui un DPIA sia già stato eseguito nell’ambito di una valutazione d’impatto generale nel contesto dell’adozione di una base giuridica (quando il trattamento è effettuato ai sensi dell’articolo 6, comma 1, lettere c) o e) GDPR), l’obbligo di effettuare un DPIA non sussiste, a meno che lo Stato Membro non lo ritenga necessario.

L ‘analisi dei 22 elenchi nazionali di trattamenti presentati al Comitato, con un totale di 260 tipi diversi di attività di trattamento, ha dato luogo a osservazioni generali e a richieste rivolte alle A.A.C.C. di emendare i loro elenchi in modo da:

• includere alcuni tipi di trattamento;
• eliminare alcuni criteri, che il Comitato ritiene non presentino necessariamente rischi elevati per gli interessati;
• armonizzare l’uso di alcuni altri criteri.

Di seguito una sintesi delle conclusioni cui il Comitato è giunto ripetutamente nei suoi Pareri:

• l’elenco di cui all’articolo 35, comma 3, nonché quelli adottati dalle A.A.C.C. ai sensi dell’articolo 35, comma 4, sono da considerarsi e dovranno essere identificati come elenchi non esaustivi;
• è opportuno aggiungere una dichiarazione che chiarisca che gli elenchi si basano sulle linee guida WP248 e che costituiscono un’ulteriore precisazione in tal senso;
• il trattamento di dati biometrici di per sé non necessariamente è suscettibile di rappresentare un rischio elevato, tuttavia il trattamento di tali dati ai fini dell’identificazione univoca di una persona fisica, in combinazione con almeno un altro criterio, rende necessaria l’esecuzione di un DPIA;
• i trattamenti di dati genetici o di dati relativi all’ubicazione nonché l’uso di tecnologie innovative non sono necessariamente suscettibili di rappresentare un rischio elevato, tuttavia associati ad almeno un altro criterio rendono necessaria l’esecuzione di un DPIA;
• a causa della sua particolare natura, il monitoraggio dei dipendenti, che soddisfa il criterio della vulnerabilità degli interessati del trattamento e quello del monitoraggio sistematico nelle linee guida, potrebbe richiedere una DPIA;
• l’ulteriore trattamento di dati personali o l’uso di una specifica base giuridica non dovrebbe, né di per sé né in combinazione con un altro criterio, fare scattare l’obbligo di effettuare una DPIA;
• il trattamento effettuato nel contesto della raccolta di dati personali attraverso interfacce di dispositivi elettronici personali, che non sono protetti contro la lettura non autorizzata, non dovrebbe essere un criterio che comporta l’obbligo di effettuare una DPIA;
• per quanto riguarda i dati raccolti tramite parti terze, operazioni di trattamento che potrebbero privare gli interessati dei loro diritti, in combinazione con almeno un altro criterio, rappresentano un rischio elevato.

Le autorità nazionali dovranno, entro due settimane dal ricevimento del parere, comunicare al presidente del Comitato se intendono modificare o mantenere invariato il loro elenco. Entro lo stesso termine, essi dovranno fornire pertanto l’elenco modificato o, qualora non intendano seguire il Parere del Comitato, presentare i motivi per i quali non intendono seguirlo, totalmente o parzialmente.

Implicazioni pratiche

Le operazioni di trattamento dei dati personali che richiedono una DPIA si stanno chiarendo ed è in corso la messa a punto degli elenchi nazionali. Le imprese dovranno attendere gli elenchi definitivi che ogni Autorità di Controllo (in Italia, il Garante per la Protezione dei Dati Personali) pubblicherà a breve, poiché tali elenchi avranno un ruolo centrale per aiutare i titolari del trattamento a stabilire se un DPIA sia obbligatorio o meno, e potere quindi successivamente intraprendere i relativi trattamenti.

ICT Legal Consulting terrà aggiornati i suoi lettori.