La valutazione d'impatto sulla protezione dei dati personali: brevi osservazioni all'elenco adottato dal Garante Privacy in materia di trattamenti soggetti a DPIA
Il Garante Privacy con proprio provvedimento (pubblicato nella G.U. Serie Generale n. 269 del 19 novembre 2018) ha adottato l'elenco delle tipologie di trattamento per le quali è richiesta una valutazione di impatto, secondo quanto previsto dall’art. 35, paragrafo 4, del Regolamento (UE) n. 2016/679 sulla protezione dei dati relativi alle persone fisiche (meglio noto come GDPR o RGPD).
Secondo l'art. 35 GDPR, quando un tipo di trattamento - in particolare in ragione dell’uso di nuove tecnologie - può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare del trattamento, valutate la natura, l’oggetto, il contesto e le finalità del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto sulla protezione dei dati personali (DPIA).
Affianco a questa previsione generale, in seno all'art. 35 par. 3, il legislatore europeo si è preoccupato di individuare una lista (solo esemplificativa) di casi in cui la DPIA è comunque obbligatoria (es. la sorveglianza sistematica su larga scala di una zona accessibile al pubblico).
Le Linee Guida in materia di valutazione d'impatto adottate da parte del Gruppo di lavoro ex art. 29 per la protezione dei dati in data 4.4.2017 (e ss. mm. ii.), individuano i seguenti nove criteri da tenere in considerazione ai fini dell’identificazione dei trattamenti che possono presentare un “rischio elevato”: 1) valutazione o assegnazione di un punteggio, inclusiva di profilazione e previsione, in particolare in considerazione di “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti dell'interessato”; 2) processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente sulle persone; 3) monitoraggio sistematico degli interessati; 4) dati sensibili o dati aventi carattere altamente personale; 5) trattamento di dati su larga scala; 6) creazione di corrispondenze o combinazione di insiemi di dati; 7) dati relativi a interessati vulnerabili; 8) uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative; 9) quando il trattamento in sé "impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto".
L'elenco adottato dal Garante Privacy interviene sempre nello stesso ambito, anche se inizialmente complicando un po' il quadro interpretativo, non essendo ben chiaro (nella stesura originaria dell'elenco) il rapporto tra la "norma-base" (art. 35 GDPR), le linee guida citate e l'elenco medesimo, oltrechè la natura dell'elenco medesimo.
A seguito dei rilievi formulati dal Comitato europeo per la protezione dei dati - che si è espresso in relazione all'elenco adottato in sede di parere reso ex art. 64 par. 1 RGPD – la lista è stata quindi emendata da parte dell'Autorità Garante, mediante l'aggiunta, fra l'altro, della specificazione circa il rapporto tra queste varie fonti, ed in particolare è stato così chiarito che:
- la norma-base resta evidentemente impregiudicata nella sua portata precettiva;
- l'elenco è stato predisposto sulla base delle Linee Guida citate, allo scopo di specificarne ulteriormente il contenuto e a complemento dello stesso;
- l'elenco è adottato in applicazione del principio di coerenza, per consentire uniformità interpretativa su base UE, e pertanto non è da considerarsi esaustivo.
Ancora, nell'originaria versione dell'elenco, figuravano una serie di trattamenti [in particolare quelli relativi: a) trattamenti di dati biometrici; b) trattamenti di dati genetici; c) trattamenti effettuati attraverso l’uso di tecnologie innovative], relativamente ai quali l'obbligo di eseguire una DPIA era previsto in via diretta e automatica.
Il Comitato europeo ha però al riguardo rilevato che tali tipi di trattamenti, in realtà, non necessariamente configurano un grado elevato di rischio; pertanto, la DPIA è richiesta solo al ricorrere di almeno un altro tra i nove criteri indicati all'interno delle Linee Guida.
Ancora, a seguito del recepimento dei rilievi formulati dal CEPD, sono state stralciate in toto due specifiche classi di trattamenti che erano presenti nella versione originaria dell'elenco (il riferimento è alle ipotesi dei trattamenti "ulteriori" di dati personali e a quelli che si sorreggono su di una specifica base legale).
In ultimo, con riguardo al monitoraggio dei lavoratori dipendenti, a seguito delle osservazioni rese dal CEPD è stato precisato che richiede la realizzazione di una DPIA ogni trattamento effettuato nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dal quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti (in relazione ai criteri nn. 3, 7 e 8 di cui alle Linee Guida).