Aggiornato al 30/11/2018
Rubrica a cura di Giovanna De Minico
Scheda di Miriam Viggiano
Il periodo di riferimento considerato (Luglio 2018-Novembre 2018) è caratterizzato dall’approvazione da parte del Garante per la protezione dei dati personali (di seguito ‘Garante’) dei primi provvedimenti direttamente applicativi delle disposizioni del nuovo Regolamento europeo in materia di protezione dei dati personali (di seguito GDPR)[1].
Nell’economia delle presenti note, limitate all’analisi dei soli provvedimenti aventi carattere generale[2], si segnala l’approvazione, in materia di trattamenti che presentano “rischi elevati”, del nuovo provvedimento che ha elencato le tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, par. 4, del GDPR[3].
Il predetto articolo stabilisce, in generale, l’obbligo per il titolare del trattamento di effettuare una “valutazione dell’impatto” sulla protezione dei dati personali, nel caso in cui il trattamento presenti un rischio elevato per i diritti e le libertà delle persone fisiche.
Ai sensi dei paragrafi 4 e 6 del citato art. 35, inoltre, il Garante ha il compito di redigere e rendere pubblico «un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto» e di sottoporre il predetto elenco al «meccanismo di coerenza» di cui all’articolo 63 del GDPR «se tali elenchi comprendono attività di trattamento finalizzate all’offerta di beni o servizi a interessati o al monitoraggio del loro comportamento in più Stati membri, o attività di trattamento che possono incidere significativamente sulla libera circolazione dei dati personali all’interno dell’Unione».
Ispirandosi ai criteri contenuti nella del Gruppo di Lavoro Articolo 29 per la Protezione dei Dati[4] e a seguito del parere reso al riguardo dal Comitato europeo per la protezione dei dati[5], l’Autorità di controllo italiana ha redatto un primo elenco di tipologie di trattamento per le quali è obbligatorio effettuare la valutazione d’impatto.
Il predetto elenco è contenuto nell’allegato 1 al provvedimento descritto e contiene l’indicazione di dodici diverse tipologie di trattamenti, considerati – per loro stessa natura – a “rischio elevato”.
Ciò in quanto si tratta, fra l’altro, di trattamenti che prevedono scoring su larga scala o che comportano la profilazione degli interessati, nonché lo svolgimento di attività predittiva; di trattamenti automatizzati finalizzati ad assumere decisioni che possono impedire l’esercizio di diritti; di trattamenti che hanno come scopo l’osservazione, il monitoraggio o il controllo degli interessati; di trattamenti su larga scala di dati delicati relativi alla vita familiare; di trattamenti nell’ambito del rapporto di lavoro mediante sistemi tecnologi che comportano il controllo a distanza dei dipendenti; di trattamenti «non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo)»; di trattamenti «effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (es. IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale; monitoraggi effettuati da dispositivi wearable; tracciamenti di prossimità come ad es. il wi-fi tracking)»; di trattamenti che «comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche»; di trattamenti di dati personali «effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (es. mobile payment)»; di trattamenti di «categorie particolari di dati ai sensi dell’art. 9» del GDPR (ossia di quelli che precedentemente venivano definiti “dati sensibili”) oppure di dati relativi a condanne penali e a reati «interconnessi con altri dati personali raccolti per finalità diverse»; di trattamenti “sistematici” di dati biometrici e genetici.
Si evidenzia che, nei predetti casi, la mancanza dell’effettuazione della prescritta valutazione d’impatto sulla protezione dei dati personali prescritta, oltre a rappresentare una violazione dell’art. 35 del GDPR, costituisce una violazione di un provvedimento del Garante. Tali condotte sono sottoposte all’applicazione delle sanzioni amministrative pecuniarie previste dall’art. 83 del Regolamento europeo.
[1] Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). Fra i provvedimenti più recenti si evidenziano, per la delicatezza dei temi trattati, in particolare: Provvedimento nei confronti dell’Agenzia delle entrate sull’obbligo di fatturazione elettronica n. 481 del 15 novembre 2018, in www.gpdp.it, doc. web n. 9059949 (rappresenta in primo provvedimento con cui il Garante ha esercitato il potere di “rivolgere avvertimenti” al titolare del trattamento previsto dall’art. 58, par. 2, lett. a, del GDPR, approvato in materia di rispetto del principio di proporzionalità e di trattamenti che presentano rischi elevati); Parere su uno schema di decreto in tema di modalità tecniche di emissione della carta di identità elettronica n. 476 del 31 ottobre 2018, ivi, doc. web n. 9058965 (in tema di rispetto del principio di “esattezza dei dati”); Parere su uno schema di disegno di legge recante “Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell’assenteismo” n. 464 dell’11 ottobre 2018, ivi, doc. web n. 9051774 (in tema di rispetto del principio di proporzionalità nei trattamenti che presentano rischi elevati in relazione all’obbligo di utilizzo sistemi biometrici e di telecamere per attestare la presenza dei lavoratori e prevenire l’assenteismo).
[2] Sulla portata giuridica di provvedimenti prescrittivi di carattere generale approvati dal Garante privacy, si rinvia alle considerazioni già svolte, e alla bibliografia ivi citata, in M. Viggiano, in Osservatorio Garante per la protezione dei dati personali (fasc. 1/2014), in www.osservatoriosullefonti.it, Archivio rubriche 2014, Garante privacy (url: https://www.osservatoriosullefonti.it/archivio-rubriche-2014/agcm-agcom-avcp-garante-privacy/976-garante-per-la-protezione-dei-dati-personali-12014).
[3] Provvedimento n. 467 dell’11 ottobre 2018, in Gazzetta Ufficiale Serie Generale n. 269 del 19 novembre 2018 e in www.gpdp.it, doc. web n. 9058979.
[4] Gruppo Articolo 29, Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679, del 4 aprile 2017, modificate il 4 ottobre 2017, in https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236.
[5] European Data Protection Board, Opinion 12/2018 Italy SAs DPIA List, del 3/10/2018, in https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-122018-italy-sas-dpia-list_en.