Comitato europeo per la protezione dei dati

Comitato europeo per la protezione dei dati

Innanzitutto, prego i lettori di non fare confusione fra il supervisore europeo alla protezione dei dati e il comitato europeo per la protezione dei dati.

Il supervisore europeo sorveglia l'attività dell'istituzioni europee, mentre il comitato europeo sorveglia e coordina l'attività dei vari Garanti nazionali.

I componenti del comitato europeo sono gli stessi che precedentemente facevano parte dell'ormai famoso articolo 29 Working party, i cui pareri costituiscono un riferimento preziosissimo per tutti coloro che sono coinvolti nella protezione dei dati personali.

Nella seconda riunione, il comitato ha assunto varie decisioni, alcune delle quali sono di fondamentale interesse per tutti soggetti coinvolti.

Sono numerosissimi i titolari di trattamento che debbono sviluppare una valutazione di impatto, in conformità all'articolo 34 e 36 del regolamento generale, in quanto questi trattamenti presentano rischi particolari.

Purtroppo la genericità dell'indicazione del regolamento può creare molti dubbi sul fatto che uno specifico trattamento debba o meno essere sottoposto a questa valutazione.

Tanto per cominciare, faccio presente che il solo fatto di avere un dubbio in merito già dovrebbe consigliare al titolare del trattamento di effettuare questa valutazione, che forse è più difficile da impostare che non da portare a termine.

Ciò non toglie che i vari Garanti nazionali, in Europa, abbiano elaborato degli schemi che permettono di inquadrare quali trattamenti devono essere soggetti a valutazione di impatto e quali no.

In obbedienza al principio di congruità e coerenza, il comitato europeo per la protezione dei dati ha chiesto a tutti i Garanti europei di esprimere le loro opinioni circa la adozione di criteri comuni per compilare un elenco di trattamenti assoggettati alla valutazione di impatto. È evidente che questo elenco rappresenta un prezioso strumento per un'applicazione coerente del regolamento in tutta Europa.

Ricordo con l'occasione che la valutazione di impatto sulla protezione dei dati aiuta il titolare a identificare e mitigare i rischi connessi alla protezione dei dati, che possono avere un impatto sui diritti e le libertà degli interessati.

Pubblicità

Software e applicazioni - Blumatica GDPR: Account Base - Canone 12 mesi Il software completo per la gestione della protezione dei dati personali (privacy) ai sensi del GDPR 2016/679.

Il comitato europeo ha pertanto chiesto a tutti i Garanti nazionali di preparare un elenco dei trattamenti, che essi ritengono possano portare a elevati rischi. Il comitato ha ricevuto 22 elenchi nazionali per un totale complessivo di 260 differenti tipi di trattamento. Non dubito che, come ha dichiarato il presidente del comitato, sia stato un lavoro arduo quello di analizzare tutte le 260 tipologie di trattamento illustrate e stabilire dei criteri comuni per decidere quando occorra attivare una valutazione di impatto.

È ben chiaro che comunque il regolamento generale non richiede che tutti gli elenchi, compilati in ogni singola nazione, siano completamente armonizzati, ma sicuramente richiede un elevato livello di congruità e coerenza, che è stato raggiunto durante questa riunione. Un elemento oltremodo importante è legato al fatto che le 22 opinioni presentate sono in linea con l'ormai famosa linea guida elaborata dall'articolo 29 Working party dal titolo:

Linee-guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento "possa presentare un rischio elevato" ai sensi del regolamento 2016/679 - WP248, adottate il 4 aprile 2017, come modificate e adottate da ultimo il 4 ottobre 2017

Prego il lettore di rileggere questo documento, mentre confido a breve di mettere a disposizione dei lettori questo elenco dello EDPB.

Adalberto Biasiotti

Questo articolo è pubblicato sotto una Licenza Creative Commons.