I trattamenti di dati personali da sottoporre obbligatoriamente a Data Protection Impact Assessment

Con la Opinion 12/2018 dello scorso 25 Settembre, il Comitato Europeo per la Protezione dei Dati Personali “European data Protection Board – EDPB” ha rilasciato il proprio parere sulla lista di trattamenti che il Garante privacy italiano indicherebbe come da sottoporre obbligatoriamente e preventivamente a Valutazione di Impatto sulla Protezione dei Dati Data Protection Impact Assessment o DPIA . Identiche Opinion sono state rilasciate anche ad altre 21 Authority privacy della UE.

Come è noto, l’articolo 35 del Regolamento Generale UE sulla protezione dei dati personali “GDPR” prescrive che «Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi». Il successivo articolo 35, comma 4, GDPR, dispone che «Ciascuna autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati ai sensi del paragrafo 1. L'autorità di controllo comunica tali elenchi al comitato di cui all'articolo 68». Dunque l’11 luglio scorso il Garante italiano ha trasmesso la propria lista di trattamenti e criteri in base ai quali dovrebbe essere obbligatorio svolgere una DPIA, e su tale lista l’EDPB si è espresso con la Opinion 12/2018 in esame. Va altresì ricordato che sull’istituto della Valutazione di Impatto di Impat-to sulla Protezione dei Dati sono state altresì emanate dai Garanti UE prima riuniti nel Working Party ex articolo 29 – WP 29 le specifiche Linee Guida WP 248 sulla DPIA che hanno operativamente illustrato l’applicazione pratica dell’articolo 35 del GDPR. Dalla lettura della Opinion 12/2018 emergono raccomandazioni dell’EDPB volte a restringere, meglio precisare ed emendare la lista del Garante italiano. In primo luogo, l’EDPB richiede al Garante italiano come alle altre Autori-tà privacy UE di specificare che la lista dei trattamenti da sottoporre obbligatoriamen-te a DPIA non ha carattere esaustivo, e cioè che i trattamenti non esauriscono tutti i casi in cui – proprio ai sensi dell’articolo 35, comma 1 del GDPR – l’accertamento di un “rischio elevato” quindi non di un qualsiasi rischio, ma solo di quelli qualificati come “elevati” per gli interessati renderebbe obbligataria la procedura di valutazione di impatto. In tale ottica, l’EDPB raccomanda a tutte le Authority privacy UE di chiarire che le liste sono solo specificazioni dell’articolo 35, comma 1, del GDPR, e che in ogni caso il criterio di individuazione dei trattamenti di cui all’articolo 35, comma 1, prevale sempre. In particolare, le raccomandazioni rivolte al Garante italiano sono le seguenti. Sul trattamento di dati biometrici e sul trattamento di dati genetici, mentre il Garante italiano li ritiene di per se stessi ed automaticamente soggetti sempre ad obbligo di DPIA, l’EDPB segnala che sul punto la lista presentata va modificata in quanto non sempre trattare dati biometrici o dati genetici implica un “rischio elevato” ai sensi dell’articolo 35 GDPR. Per lo meno – segnala l’EDPB - il Garante italiano deve specificare che il trattamento di dati biometrici volto ad identificare univocamente una persona fisica o il trattamento di dati genetici vanno sottoposti a DPIA non in quanto tali, ma solo se associati ad almeno uno dei nove criteri specificati dalle Linee Guida WP 248 sulla DPIA, che al Paragrafo B chiariscono che allo scopo di fornire indicazioni più concrete rispetto ai trattamenti che richiedono una DPIA è opportuno prendere in esame i seguenti nove criteri 1 Trattamenti valutativi o di scoring 2 Decisioni automatizzate che producono significativi effetti giuridici o di analoga natura 3 Monitoraggio sistematico 4 Dati sensibili o dati di natura estremamente personale 5 Trattamenti di dati su larga scala 6 Combinazione o raffronto di insiemi di dati 7 Dati relativi a interessati vulnerabili 8 Utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative, come l’associazione fra tecniche dattiloscopiche e riconoscimento del volto per migliorare il controllo degli accessi fisici 9 Tutti quei trattamenti che, di per sé, impediscono [agli interessati] di esercitare un diritto o di avvalersi di un servizio o di un contratto. L’EDPB richiede poi al Garante italiano di eliminare dalla lista – come criterio e categoria di trattamento soggetto all’obbligo di DPIA – il c.d. “further processing”, cioè ogni ipotesi di trattamento ulteriore rispetto alle originarie finalità comunicate. Ritiene l’EDPB che un tale criterio di obbligatorietà sia estraneo alla ratio dell’articolo 35 GDPR e ne richiede dunque la eliminazione dalla lista proposta. Sul trattamento dei dati dei lavoratori a scopo di monitoraggio - incluso dal Garante italiano nella lista di trattamenti per i quali è obbligatorio svolgere una DPIA – l’EDPB raccomanda solamente di specificare che tale trattamento va sottoposto a DPIA poiché sono applicabili due dei nove criteri specificati dalle Linee Guida WP 248 sulla DPIA il criterio del “soggetto vulnerabile” quale è il lavoratore e il criterio del “monitoraggio sistematico”. L’EDPB richiede poi al Garante italiano di eliminare dalla lista – come criterio ed obbligo di svolgimento della DPIA – il riferimento a trattamenti la cui base giuridica è l’adempimento di obblighi previsti dalla legge. Ritiene l’EDPB che un tale criterio di obbligatorietà sia estraneo alla ratio dell’articolo 35 GDPR e ne richiede dunque la eliminazione dalla lista proposta. Sul trattamento di dati che implicano l’impiego di una tecnologia nuova nel senso di mai applicata prima nel contesto dell’organizzazione del titolare del trattamento o innovativa nel senso di tecnologia prima non presente sul mercato , mentre il Garante italiano ritiene tali trattamenti di per se stessi ed automaticamente soggetti sempre ad obbligo di DPIA, l’EDPB segnala che sul punto la lista presentata va modificata in quanto non sempre essi implicano un “rischio elevato” ai sensi dell’articolo 35 GDPR. Per lo meno – segnala l’EDPB - il Garante italiano deve specificare che i trattamenti che implicano l’impiego di una tecnologia nuova o innovativa vanno sottoposti a DPIA non in quanto tali, ma solo se associati ad almeno uno dei nove criteri specificati dalle Linee Guida WP 248 sulla DPIA. Infine, su tutti gli altri trattamenti elencati dal Garante italiano nella lista nazionale presentata e sui quali l’EDPB non si sia espresso con specifiche richieste di modifica o integrazione, la Opinion 12/2018 chiarisce che in tale caso essi sono approvati come tali.