Categorie: Insights, Prassi

Tag: DPIA, Garante Privacy, GDPR


28 Ott 2018

Il Comitato europeo per la protezione dei dati “dialoga” con il Garante Privacy italiano in tema di DPIA

Background

È stato recentemente reso pubblico il parere 12/2018, adottato il 25 settembre scorso dal “Comitato europeo per la protezione dei dati” (European Data Protection Board”, “EDPB”), ossia l’Organismo preposto, principalmente, a garantire un’applicazione uniforme e coerente, in tutti gli Stati membri, del Regolamento Europeo 679/2016 in materia di protezione dei dati personali delle persone fisiche (“GDPR”). L’EDPB è di fatto succeduto al precedente c.d. “Gruppo di lavoro articolo 29” (Working Party 29, “WP29”), con più ampi poteri e nuovi compiti.

Nell’ambito dell’opera di allineamento delle varie prassi interne, negli scorsi mesi, le Autorità di controllo degli Stati membro hanno trasmesso all’EDPB un proprio elenco di “tipologie di trattamenti di dati” richiedenti la preventiva “valutazione d’impatto sulla protezione dei dati” (c.d. “DPIA”) quale condizione di liceità del trattamento.

Il caso italiano

L’Elenco presentato dal Garante Privacy italiano individua sei tipologie di trattamenti richiedenti il previo esperimento di una DPIA, e specificamente: (i) il trattamento di dati biometrici; (ii) il trattamento di dati genetici; (iii) il trattamento svolto utilizzando tecnologie innovative; (iv) il monitoring dei dipendenti; (v) il “trattamento ulteriore di dati personali” e il (vi) trattamento riferito ad una “specifica base giuridica”.

L’EDPB ha risposto al nostro Garante con proprie osservazioni, alcune di carattere generale, altre di natura più dettagliatamente “prescrittiva”.

Con specifico riferimento al trattamento di dati biometrici, genetici o svolto secondo l’utilizzo di nuove tecnologi, l’EDPB ritiene che non sia di per sé idoneo a creare un rischio certo per i diritti e le libertà degli interessati. A suo parere occorre, perché la DPIA sia necessaria, la presenza di almeno un’altra delle nove fattispecie elencate nelle “Linee Guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679”, adottate dal gruppo di Lavoro Articolo 29 e comunemente definite Linee WP248 (e.g.: trattamenti che permettono di giudicare un soggetto in base ad una profilazione; monitoraggio sistematico; matching di diversi insiemi di dati).

L’EDPB concorda, invece, col Garante italiano allorquando questi sostiene che un monitoraggio sistematico, su soggetti di per sé vulnerabili quali i dipendenti, sia un trattamento che richieda l’effettuazione della DPIA.

Prospettive

Per concludere, sarà interessante vedere come si muoverà il Garante italiano: qualora infatti decidesse di non ottemperare alle “prescrizioni” fornite dall’EDPB, il nostro Paese potrebbe essere il primo a venire coinvolto nel nuovo meccanismo di risoluzione delle controversie da parte del Comitato, col c.d. “meccanismo di coerenza” ex artt. 63, 64 e 65 GDPR.

Notizie correlate:

Approvato lo schema di decreto legislativo di adeguamento al GDPR

LO SAI CHE… Dal 25 maggio è diventato pienamente operativo il Regolamento europeo in materia di protezione dei dati personali?

Iscriviti alla newsletter

Contattaci

Hai bisogno di informazioni? Scrivici e il nostro team di esperti ti risponderà il prima possibile.

Compila il form

Altre news e insights

8 Lug 2026

Trasparenza salariale: a un mese dall’entrata in vigore, sono due gli orientamenti sul mercato (The Platform, 8 luglio 2026 – Vittorio De Luca, Claudia Cerbone e Martina De Angeli)

Dal 7 giugno si devono applicare le regole Ue dirette a rafforzare il principio della parità di retribuzione tra uomini e donne per uno stesso lavoro o per…

2 Lug 2026

Lo sai che… dal 7 giugno 2026 è pienamente in vigore il Decreto Legislativo n. 96/2026?

Dal 7 giugno 2026 è pienamente in vigore il Decreto Legislativo n. 96/2026, che introduce anche nell’ordinamento italiano un sistema strutturato di trasparenza retributiva con l’obiettivo di rafforzare…

2 Lug 2026

Omessa contestazione dell’addebito disciplinare: la Cassazione esclude la nullità del licenziamento e la reintegra nelle piccole imprese

Massima Con la recentissima sentenza n. 17283 del 1° giugno 2026, la Corte di Cassazione ha affrontato il tema della omessa contestazione disciplinare e dei suoi effetti sul…

2 Lug 2026

AI e rapporto di lavoro: prime indicazioni dei decreti attuativi e riflessi in ambito data protection

Con l’approvazione in via preliminare, da parte del Consiglio dei Ministri il 10 giugno 2026, dei primi schemi di decreti legislativi attuativi della legge delega in materia di…

1 Lug 2026

Sostenibilità, responsabilità e futuro: il nostro impegno cresce nel tempo

In occasione del nostro 50° anniversario, abbiamo scelto di guardare al futuro con la stessa attenzione con cui custodiamo le nostre radici. Radici che affondano in Puglia, terra…

25 Giu 2026

Parità salariale e trasparenza retributiva: cosa cambierà in Italia (People are People, 25 giugno 2026 – Claudia Cerbone e Martina De Angeli)

Con il D.Lgs. 7 maggio 2026, n. 96, entrato in vigore il 7 giugno 2026, l'Italia ha recepito la Direttiva (UE) 2023/970 sulla trasparenza retributiva, collocandosi tra i…