Home>News>GDPR, Hot topics>L’EDPB chiede al Garante di restringere la lista di trattamenti da sottoporre a DPIA

L’EDPB chiede al Garante di restringere la lista di trattamenti da sottoporre a DPIA

Il Comitato dei Garanti Europei (EDPB – European Data Protection Board) ha pubblicato il 3 ottobre 2018 la Opinion 12/2018 emessa il 25 settembre 2018 in riferimento alla bozza di lista sottoposta dal Garante Privacy italiano in relazione ai trattamenti per cui si attiva l’obbligo di esecuzione di una valutazione di impatto sulla protezione dei dati (DPIA – Data Protection Impact Assessment) ai sensi dell’art. 35 del GDPR.

Il Garante aveva stilato e sottoposto la propria lista esercitando una facoltà concessa dal’art. 35, par.4 del GDPR grazie al quale le supervisory authority gli stati membri possono creare elenchi “customizzati” in considerazione delle esigenze e delle normative locali. Il Comitato ha il compito di vagliare queste liste per accertare che l’esercizio di tale discrezionalità non porti ad una sostanziale condizione di inconsitency; in altre parole, il Board deve curare che le liste dei vari paesi non risultino incoerenti tra loro perché un eccesso di differenziazione o di “localizzazione” andrebbe a detrimento del principio di protezione equivalente del cittadino europeo (mentre il GDPR è nato per imporre lo stesso livello di data protection nei vari stati membri).

L’EDPB ha segnalato al Garante quelli che devono essere i correttivi da apportare alla lista. A parere del Board, la bozza di lista presentata dall’Italia amplia eccessivamente il novero delle tipologie di trattamenti da sottoporre obbligatoriamente a DPIA.

Ad esempio, secondo l’EDPB, i trattamenti riconnessi all’utilizzo di biometria, di dati genetici, o di nuove tecnologie non sono di per loro idonei a creare un rischio certo per i diritti e la libertà degli individui e, dunque, potranno essere inclusi nella lista solo allorché il trattamento di specie attivi anche uno dei tre criteri di rischio già contemplati al par.3 dell’art. 35 del GDPR. Tali criteri – lo si ricorda – rendono obbligatoria l’esecuzione di un DPIA laddove il titolare del trattamento ponga in essere:

  1. una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
  2. il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o
  3. la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Il Garante dovrà a stretto giro comunicare al Comitato se intende emendare o mantenere il proprio draft originale. In quest’ultimo caso, dovrà contestualmente illustrare i fondati motivi per cui non è intenzionato ad accogliere, in tutto o in parte, i suggerimenti resi dall’EDPB.

Clicca qui per consultare l’Opinion 12/2018 (pdf, in inglese).

L’EPBD ha pubblicato altri 21 pareri in riferimento alle liste presentate dalle autorità di controllo degli altri paesi europei. Clicca qui per accedere all’elenco delle opinion.

2018-10-09T13:13:07+00:00 5 ottobre 2018|GDPR, Hot topics|