Background
È stato recentemente reso pubblico il parere 12/2018, adottato il 25 settembre scorso dal “Comitato europeo per la protezione dei dati” (European Data Protection Board”, “EDPB”), ossia l’Organismo preposto, principalmente, a garantire un’applicazione uniforme e coerente, in tutti gli Stati membri, del Regolamento Europeo 679/2016 in materia di protezione dei dati personali delle persone fisiche (“GDPR”). L’EDPB è di fatto succeduto al precedente c.d. “Gruppo di lavoro articolo 29” (Working Party 29, “WP29”), con più ampi poteri e nuovi compiti.
Nell’ambito dell’opera di allineamento delle varie prassi interne, negli scorsi mesi, le Autorità di controllo degli Stati membro hanno trasmesso all’EDPB un proprio elenco di “tipologie di trattamenti di dati” richiedenti la preventiva “valutazione d’impatto sulla protezione dei dati” (c.d. “DPIA”) quale condizione di liceità del trattamento.
Il caso italiano
L’Elenco presentato dal Garante Privacy italiano individua sei tipologie di trattamenti richiedenti il previo esperimento di una DPIA, e specificamente: (i) il trattamento di dati biometrici; (ii) il trattamento di dati genetici; (iii) il trattamento svolto utilizzando tecnologie innovative; (iv) il monitoring dei dipendenti; (v) il “trattamento ulteriore di dati personali” e il (vi) trattamento riferito ad una “specifica base giuridica”.
L’EDPB ha risposto al nostro Garante con proprie osservazioni, alcune di carattere generale, altre di natura più dettagliatamente “prescrittiva”.
Con specifico riferimento al trattamento di dati biometrici, genetici o svolto secondo l’utilizzo di nuove tecnologi, l’EDPB ritiene che non sia di per sé idoneo a creare un rischio certo per i diritti e le libertà degli interessati. A suo parere occorre, perché la DPIA sia necessaria, la presenza di almeno un’altra delle nove fattispecie elencate nelle “Linee Guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679”, adottate dal gruppo di Lavoro Articolo 29 e comunemente definite Linee WP248 (e.g.: trattamenti che permettono di giudicare un soggetto in base ad una profilazione; monitoraggio sistematico; matching di diversi insiemi di dati).
L’EDPB concorda, invece, col Garante italiano allorquando questi sostiene che un monitoraggio sistematico, su soggetti di per sé vulnerabili quali i dipendenti, sia un trattamento che richieda l’effettuazione della DPIA.
Prospettive
Per concludere, sarà interessante vedere come si muoverà il Garante italiano: qualora infatti decidesse di non ottemperare alle “prescrizioni” fornite dall’EDPB, il nostro Paese potrebbe essere il primo a venire coinvolto nel nuovo meccanismo di risoluzione delle controversie da parte del Comitato, col c.d. “meccanismo di coerenza” ex artt. 63, 64 e 65 GDPR.
Notizie correlate:
Approvato lo schema di decreto legislativo di adeguamento al GDPR
Hai bisogno di informazioni? Scrivici e il nostro team di esperti ti risponderà il prima possibile.
Compila il form