Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679
(Pubblicato sulla Gazzetta Ufficiale Serie Generale n. 269 del 19 novembre 2018)
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati, di seguito “RGPD”);
VISTO, in specie, l’art. 35, par. 1, del RGPD, che stabilisce l’obbligo per il titolare di effettuare, prima dell’inizio del trattamento, una valutazione dell’impatto del trattamento medesimo, laddove quest’ultimo possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, “allorché preved[a] in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità […]”;
VISTO il par. 3 del medesimo articolo, che individua alcune ipotesi in cui è richiesta la valutazione d’impatto;
VISTO il par. 10 del predetto art. 35, che individua invece le ipotesi in cui tale valutazione non è richiesta, in particolare “qualora il trattamento effettuato ai sensi dell’articolo 6, paragrafo 1, lettere c) o e), trovi nel diritto dell’Unione o nel diritto dello Stato membro cui il titolare del trattamento è soggetto una base giuridica, tale diritto disciplini il trattamento specifico o l’insieme di trattamenti in questione, e sia già stata effettuata una valutazione d’impatto sulla protezione dei dati nell’ambito di una valutazione d’impatto generale nel contesto dell’adozione di tale base giuridica […], salvo che gli Stati membri ritengano necessario effettuare tale valutazione prima di procedere alle attività di trattamento”;
CONSIDERATO che l’art. 35, par. 4, rimette alle autorità di controllo nazionali il compito di redigere e rendere pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto e di comunicarlo al Comitato europeo per la protezione dei dati di cui all’art. 68 del RGPD;
CONSIDERATO che il par. 6 del citato art. 35 stabilisce l’applicazione del meccanismo di coerenza di cui all’art. 63 del RGPD, da parte della singola autorità di controllo competente, qualora l’elenco comprenda “attività di trattamento finalizzate all’offerta di beni o servizi a interessati o al monitoraggio del loro comportamento in più stati membri, o attività di trattamento che possono incidere significativamente sulla libera circolazione dei dati personali all’interno dell’Unione”;
VISTE le indicazioni contenute nei “considerando” nn. 71, 75 e 91 del RGPD;
VISTE le “Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679” del Gruppo di Lavoro Articolo 29 per la Protezione dei Dati del 4 aprile 2017, come modificate e adottate da ultimo il 4 ottobre 2017 e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018 (di seguito “WP 248, rev. 01”), che hanno individuato i seguenti nove criteri da tenere in considerazione ai fini dell’identificazione dei trattamenti che possono presentare un “rischio elevato”: 1) valutazione o assegnazione di un punteggio, inclusiva di profilazione e previsione, in particolare in considerazione di “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato”; 2) processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente sulle persone; 3) monitoraggio sistematico degli interessati; 4) dati sensibili o dati aventi carattere altamente personale; 5) trattamento di dati su larga scala; 6) creazione di corrispondenze o combinazione di insiemi di dati; 7) dati relativi a interessati vulnerabili; 8) uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative; 9) quando il trattamento in sé “impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto”);
RILEVATO che il ricorrere di due o più dei predetti criteri è indice di un trattamento che presenta un rischio elevato per i diritti e le libertà degli interessati e per il quale è quindi richiesta una valutazione d’impatto sulla protezione dei dati (cfr. WP 248, rev. 01, pag. 11);
CONSIDERATO che il Garante ha predisposto un elenco delle tipologie di trattamento ai sensi dell’art. 35, par. 4 da sottoporre a valutazione d’impatto;
CONSIDERATO che le previsioni di cui all’art. 35, par. 1 del RGPD, che dispongono che “quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali”, prevalgono in ogni caso;
CONSIDERATO altresì che il predetto elenco è stato predisposto sulla base del WP 248, rev. 01, allo scopo di specificarne ulteriormente il contenuto e a complemento dello stesso;
RILEVATO che tale elenco è stato comunicato in data 11 luglio 2018 al Comitato per il prescritto parere (art. 35, parr. 4 e 6, e dall’art. 64, par. 1, lett. a), del RGPD);
VISTE le osservazioni rese dal Comitato nel parere adottato il 25 settembre 2018 e notificato il 2 ottobre 2018 (disponibile su https://edpb.europa.eu/);
RITENUTO, in ottemperanza a quanto previsto dall’art. 64, par. 7, del RGPD, di aderire alle osservazioni contenute nel suddetto parere e di modificare, in conformità, il relativo progetto di decisione e di darne comunicazione al presidente del Comitato;
RILEVATO che tale elenco è riferito esclusivamente a tipologie di trattamento soggette al meccanismo di coerenza e che non è esaustivo, restando fermo quindi l’obbligo di adottare una valutazione d’impatto sulla protezione dei dati laddove ricorrano due o più dei criteri individuati dal WP 248, rev. 01 e che in taluni casi “un titolare del trattamento può ritenere che un trattamento che soddisfa soltanto uno [dei predetti] criteri richieda una valutazione d’impatto sulla protezione dei dati” (cfr. WP 248, rev. 01, pag. 11);
RILEVATO, altresì, che il predetto elenco potrà essere ulteriormente modificato o integrato anche sulla base delle risultanze emerse nel corso della prima fase di applicazione del RGPD;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Antonello Soro;
TUTTO CIÒ PREMESSO
a) ai sensi degli artt. 35, par. 4, e 57, par. 1, lett. k), del RGPD fermo restando quanto indicato nel richiamato WP 248, rev. 01, individua l’elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto, riportate nell’allegato 1 facente parte integrante del presente provvedimento, che specificano quanto riportato nel citato WP 248, rev. 01;
b) ai sensi dell’art. 64, par. 7 del RGPD comunica al presidente del Comitato il presente provvedimento che recepisce i rilievi formulati nel parere richiamato in premessa;
c) invia copia della presente deliberazione all’Ufficio pubblicazione leggi e decreti del Ministero della giustizia ai fini della sua pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana.
ALLEGATO 1 Elenco delle tipologie di trattamenti soggetti a DPIA