Il comitato europeo per la protezione dei dati comincia a funzionare

I lettori che si occupano di protezione dei dati sono certamente ben al corrente delle prescrizioni dell’articolo 35, che descrive quando e come occorre effettuare una valutazione di impatto sulla protezione dei dati. L’articolo dà delle disposizioni generali, ma al comma 4 impone che l’autorità di controllo nazionali rediga e renda pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione di impatto.

Al comma 5, la stessa autorità di controllo può inoltre redigere e rendere pubblico un elenco delle tipologie di trattamento per le quali non è richiesta una valutazione di impatto.

La nostra autorità Garante si era impegnata tempo addietro a elaborare questi due elenchi, che però, prima di essere pubblicati, debbono essere sottoposti alla verifica del comitato europeo per la protezione dei dati, proprio per evitare che questi elenchi, pubblicati in ogni singola nazione europea, possano essere troppo diversi tra di loro. Ove ciò accadesse, si ritornerebbe in un contesto di “balcanizzazione”, che è proprio ciò che il regolamento generale europeo vuole impedire.

Pubblicità

Software e applicazioni - Blumatica GDPR: Account Base - Canone 12 mesi Il software completo per la gestione della protezione dei dati personali (privacy) ai sensi del GDPR 2016/679.

Di seguito offro un elenco di tutte le opinioni già espresse dal comitato per la protezione dei dati, sugli elenchi che sono stati sottoposti dai paesi europei.

Vediamo in particolare i commenti fatti sulla lista presentata dall’autorità Garante nazionale.

Tanto per cominciare, il comitato europeo chiede che questo elenco sia contrassegnato da una specifica nota, che ne indichi la natura non esaustiva.

Per quanto riguarda le tipologie di trattamento per le quali la nostra autorità Garante richiede lo sviluppo di una valutazione di impatto, i commenti sono piuttosto acribici, anche perché è ormai già ben noto, a livello europeo, il fatto che la nostra autorità Garante sia particolarmente restrittiva su un gran numero di trattamenti, specialmente di tipo biometrico. Nonostante un recente provvedimento abbia allargato un po’ le maglie, la situazione in Italia è assai più restrittiva rispetto ad altri paesi.

Ecco la ragione per la quale il comitato ha dato indicazione all’autorità Garante di modificare l’elenco di trattamenti biometrici, soggetti a valutazione di impatto, dando ulteriori chiarimenti sul motivo per cui il trattamento di dati biometrici richieda specificamente una valutazione di impatto. In altre parole, non sempre necessariamente un trattamento di dati biometrici può presentare gravi rischi per i diritti e le libertà dei soggetti coinvolti.

Un ragionamento similare si applica anche al trattamento di dati genetici, che può richiedere una valutazione di impatto solo se sono soddisfatti altri requisiti.

Per quanto riguarda il monitoraggio dell’attività svolta dei dipendenti, è ben noto come l’Italia abbia sempre avuto un atteggiamento assai più restrittivo, rispetto ad altri paesi. Ecco la ragione per la quale il comitato europeo chiede alla nostra autorità Garante di esaminare attentamente le linee guida dell’articolo 29 Working party, in particolare il documento WP 248, che analizza proprio queste situazioni e dà precise indicazioni in merito alle modalità con cui deve essere o può essere svolta l’attività di monitoraggio sui dipendenti.

Infine, un aspetto oltremodo interessante riguarda il fatto che la nostra autorità Garante ritiene che si debba sviluppare una valutazione di impatto ogniqualvolta ci si trovi davanti a nuove tecnologie di trattamento dei dati personali.

Il comitato ritiene che questa impostazione sia apodittica e debba quindi essere modificata, nel senso che non è sufficiente che ci si trovi davanti una nuova tecnologia, ma occorre anche indicare il motivo per cui questa nuova tecnologia potrebbe essere pregiudizievole ad un corretto trattamento dei dati e richiederebbe quindi lo sviluppo di una valutazione di impatto.

Chiudo questo appunto, facendo presente che comunque il parere del comitato europeo è richiesto solamente quando le attività di trattamento possono coinvolgere più paesi europei. Quando un’attività di trattamento è svolta solo all’interno di un paese europeo, non è necessario chiedere il parere del comitato. Questa precisazione è opportuna, perché alcune autorità Garanti nazionali hanno presentato degli elenchi di trattamenti, che avevano carattere eminentemente locale e per i quali quindi non era necessaria un’opinione del comitato.

Restiamo in attesa di ricevere quanto prima un elenco aggiornato ed approvato dal comitato europeo, in modo che finalmente i titolari e responsabili del trattamento sappiano quando si deve sviluppare una valutazione di impatto. È bene comunque tener presente che prudenza vorrebbe che, davanti al solo dubbio che possa essere opportuno svolgere una valutazione di impatto, gli specialisti di tutela dei dati raccomandano comunque di condurla.

Segue l’elenco delle opinioni emesse dal comitato sui vari elenchi già inviati.

Opinion 1/2018 Austrian SAs DPIA List

Opinion 2/2018 Belgium SAs DPIA List

Opinion 3/2018 Bulgaria SAs DPIA List

Opinion 4/2018 Czech Republic SAs DPIA List

Opinion 5/2018 Germany SAs DPIA List

Opinion 6/2018 Estonia SAs DPIA List

Opinion 7/2018 Greece SAs DPIA List

Opinion 8/2018 Finland SAs DPIA List

Opinion 9/2018 France SAs DPIA List

Opinion 10/2018 Hungary SAs DPIA List

Opinion 11/2018 Ireland SAs DPIA List

Opinion 12/2018 Italy SAs DPIA List

Opinion 13/2018 Lithuania SAs DPIA List

Opinion 14/2018 Latvia SAs DPIA List

Opinion 15/2018 Malta SAs DPIA List

Opinion 16/2018 Netherlands SAs DPIA List

Opinion 17/2018 Poland SAs DPIA List

Opinion 18/2018 Portugal SAs DPIA List

Opinion 19/2018 Romania SAs DPIA List

Opinion 20/2018 Sweden SAs DPIA List

Opinion 21/2018 Slovakia SAs DPIA List

Opinion 22/2018 United Kingdom SAs DPIA List

Adalberto Biasiotti

Questo articolo è pubblicato sotto una Licenza Creative Commons.