Continua la definizione del quadro di contesto della nuova Privacy. In realtà è più corretto parlare delle nuove indicazioni sulla gestione dei dati, inaugurata dal Regolamento UE 679/2016, oramai universalmente noto come GDPR, proseguito con il D.Lgs 101/2018 e continuamente perfezionate dalle circolari del Garante della Privacy. L’ultima di queste, riguarda uno dei Nodi operativi dell’applicazione della nuova legislazione, la “Valutazione d’impatto sulla protezione dei dati” (DPIA), con le indicazioni fornite dalla Terza riunione plenaria del Comitato europeo per la protezione dei dati (EDPB).
Il Comitato europeo per la protezione dei dati (EDPB): è un organo europeo indipendente, che contribuisce all’applicazione coerente delle norme sulla protezione dei dati, in tutta l’Unione europea e promuove la cooperazione tra le autorità competenti, per la protezione dei dati del UE. Il Comitato è composto dalle figure di vertice delle autorità di controllo, dal Garante europeo della protezione dei dati (GEPD) o dai rispettivi rappresentanti.
Riunitosi nel settembre scorso a Bruxelles il “EDPB” (Garante per la privacy italiano e le altre Autorità europee equivalenti), ha espresso i pareri sulle liste dei trattamenti da sottoporre a DPIA (Data Protection Impact Assessment), approvando i pareri relativi alle liste dei trattamenti che possono presentare un rischio elevato per i diritti e le libertà delle persone interessate.
Sono state adottate anche le Linee Guida sul “ambito di applicazione territoriale” (territorial scope) che chiariscono quando un trattamento di dati, effettuato nel UE o in altri Paesi, è soggetto al GDPR (in Italia RGPD) ed i criteri decisionali sulla proposta di Regolamento europeo, E-evidence, relativo alla raccolta e conservazione di prove elettroniche, in materia penale. E’ stata inoltre avviata la discussione sulla proposta relativa all’adeguatezza del Giappone, in materia di trattamento dei dati personali.
Il “take home message” delle linee-guida (già sottoposte a consultazione pubblica) è che la valutazione di impatto costituisce una buona prassi, al di là dei requisiti di legge, poiché attraverso di essa il titolare può ricavare indicazioni importanti e utili a prevenire incidenti futuri. La DPIA permette di realizzare concretamente l´altro fondamentale principio fissato nel regolamento 2016/679, ossia la protezione dei dati fin dalla fase di progettazione (data protection by design) di qualsiasi trattamento.
Sull’applicazione dei criteri di Privacy by design, sappiamo che si è incentrata la contestazione del Garante sulla Fattura Elettronica, che ha portato al rinvio della stessa. Vediamo quindi, in dettaglio, la legge e le relative integrazioni.
L’art. 35, par. 1, del RGPD, stabilisce l’obbligo, per il titolare, di effettuare, prima dell’inizio del trattamento, una DPIA del trattamento medesimo, laddove quest’ultimo possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, “allorché preveda in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità […]”.
Scorriamone i paragrafi: il 3 individua alcune ipotesi in cui è richiesta la valutazione d’impatto, il 10 individua quelle in cui tale valutazione non è richiesta (in particolare “qualora il trattamento sia effettuato ai sensi dell’articolo 6, paragrafo 1, lettere c) o e”). Il paragrafo 4, rimette, alle autorità di controllo nazionali, il compito di redigere e rendere pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto e di comunicarlo al Comitato europeo, per la protezione dei dati, di cui all’art. 68 del RGPD (Regolamento Generale sulla Protezione dei Dati).
Infine il paragrafo 6 stabilisce l’applicazione del meccanismo di coerenza (art. 63 del RGPD), da parte della singola autorità di controllo competente, qualora l’elenco comprenda “attività di trattamento finalizzate all’offerta di beni o servizi a interessati o al monitoraggio del loro comportamento in più stati membri, o attività di trattamento che possono incidere significativamente sulla libera circolazione dei dati personali all’interno dell’Unione”. Integrano il RGPD le indicazioni contenute nei “considerando” nn. 71, 75 e 91.
In particolare, le raccomandazioni del Gruppo di Lavoro “Articolo 29” per la Protezione dei Dati (4 aprile 2017, modificate e adottate il 4 ottobre 2017), fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018 (di seguito “WP 248, rev. 01”), hanno individuato i seguenti nove criteri da tenere in considerazione, ai fini dell’identificazione dei trattamenti che possono presentare un “rischio elevato”:
- 1- valutazione o assegnazione di un punteggio, inclusive di profilazione e previsione, in particolare in considerazione di “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato”;
- 2- processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente sulle persone;
- 3- monitoraggio sistematico degli interessati;
- 4- dati sensibili o dati aventi carattere altamente personale;
- 5- trattamento di dati su larga scala;
- 6- creazione di corrispondenze o combinazione di insiemi di dati;
- 7- dati relativi a interessati vulnerabili;
- 8- uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative;
- 9- quando il trattamento in sé “impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto”.
Queste, quindi, le nuove regole alla base dell’”Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati”, Pubblicato sulla G. U. n. 269, del 19 novembre 2018.
Diviene evidente che NON c’è Privacy, senza DPIA.
BIBLIOWEB:
- Per maggiori informazioni sulla plenaria e sul Comitato europeo per la protezione dei dati (EDPB) si può consultare il link: https://edpb.europa.eu/
- https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236
- Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679 Registro dei provvedimenti [doc. web n. 9058979](Pubblicato sulla Gazzetta Ufficiale Serie Generale n. 269 del 19 novembre 2018) (vedi infografica-articolo)
- WP 248, rev. 01 (in PDF allegato)
- WP 260, rev. 01 (in PDF allegato)
- Fattura elettronica, il NO del Garante Privacy http://newmicro.altervista.org/?p=5082
- GDPR Now http://newmicro.altervista.org/?p=4728
- Cibersecurity & Blockchain in Sanità http://newmicro.altervista.org/?p=4646
- Privacy Europea: GDPR, Informativa e i nuovi diritti http://newmicro.altervista.org/?p=4122
Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” – Linee guida sulla trasparenza – GRUPPO DI LAVORO ARTICOLO 29, Ottobre 2017 e Aprile 2018 (PDF)
