Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

la raccomandazione

Valutazione di impatto GDPR (DPIA), impariamo dagli elenchi trattamenti del Garante belga

Il Garante privacy belga ha pubblicato gli elenchi dei trattamenti inclusi o esclusi dall’obbligo di valutazione di impatto sulla protezione dei dati, uno dei nuovi adempimenti previsti dal GDPR. Ecco perché si tratta di liste utili per chi deve orientarsi in questo periodo di prima applicazione della nuova normativa

15 Mag 2018

Massimiliano Nicotra

avvocato, esperto di diritto delle tecnologie


Da pochi giorni è stata resa pubblica sul sito internet della Commissione per la protezione della vita privata belga (ossia il corrispondente in Belgio al nostro Garante per la protezione dei dati personali) la raccomandazione n. 1/2018 del 28 febbraio 2018 relativa alla valutazione di impatto sulla protezione dei dati di cui all’art. 35 del Regolamento (UE) n. 679/2016 (GDPR).

In cosa consiste la valutazione d’impatto

La valutazione d’impatto (Data Protection Impact Assessment, abbreviata anche in “DPIA”) è uno dei nuovi adempimenti previsti dal GDPR, che, all’art. 35, prevede il suo svolgimento da parte del Titolare quando un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Concettualmente, raffrontando la previsione al nostro attuale Codice in materia di protezione dei dati personali (d.legislativo n. 196/2003), si può affermare che vi potrebbero rientrare i trattamenti che all’art. 17 dello stesso erano definiti come “trattamento che presenta rischi specifici”, e per l’avvio dei quali era necessaria una verifica preliminare da parte del Garante, ed anche alcuni trattamenti per i quali era rimasto in vigore l’obbligo di notificazione ai sensi dell’art. 37.

I trattamenti soggetti a valutazione d’impatto

L’art. 35 del GDPR fornisce al 3° comma un elenco, esemplificativo e non esaustivo, dei trattamenti soggetti a DPIA, prevedendone l’obbligo quando essi siano relativi:

  • ad una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
  • al trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10
  • alla sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Si tratta, però, di un elenco esemplificativo e non esaustivo, come chiarito sia dalla presenza della locuzione “in particolare” all’inizio del 3° comma, sia dal ripetersi della stessa anche al 1° comma, in cui il legislatore europeo ha voluto chiarire che l’uso di nuove tecnologie richiede, in considerazione della natura, dell’oggetto, del contesto e delle finalità del trattamento, lo svolgimento di tale valutazione.

Le linee guida del gruppo di lavoro articolo 29

Il Gruppo di lavoro articolo 29 per la protezione dei dati era già intervenuto sul tema, pubblicando delle apposite Linee Guida modificate da ultimo il 4 ottobre 2017 (e disponibili in lingua italiana).

Tali Linee Guida forniscono preziose indicazioni, soprattutto in merito ai criteri applicabili per individuare quando deve intendersi necessaria l’effettuazione di una valutazione di impatto sulla protezione dei dati, individuando nove indici e chiarendo che la contemporanea presenza di due dei medesimi devono far ritenere che il trattamento ha elevate probabilità di presentare un rischio elevato per i diritti e le libertà degli interessati. All’interno delle Linee Guida, inoltre, sono forniti alcuni esempi di trattamenti che verificano le condizioni anzidette, richiedendo l’effettuazione della DPIA.

L’importanza degli elenchi in vista della piena efficacia del Gdpr

L’art. 35 del GDPR, inoltre, al comma 4 espressamente prevede che le autorità di controllo nazionali pubblichino degli elenchi di tipologie di trattamenti da ritenersi soggetti al requisito della valutazione di impatto, con obbligo di comunicazione degli elenchi al Comitato Europeo per la protezione dei dati, concedendo al contempo alle autorità medesime la facoltà di indicare in elenchi separati i trattamenti che invece devono ritenersi esclusi dall’obbligo di effettuare una DPIA (comunicando anche tale elenchi al Comitato).

L’autorità belga è la prima, a livello nazionale, ad applicare tale previsione e l’ordinanza sopra richiamata contiene sia l’elenco “positivo” dei trattamenti che devono essere soggetti a valutazione di impatto prima della loro esecuzione, sia quello “negativo” relativo ai trattamenti esclusi.

L’importanza di tali elenchi, nell’approssimarsi della piena efficacia del GDPR, emerge pienamente ove si tenga conto che, pur nel rispetto dell’autonomia di ciascuna autorità nazionale, il Comitato Europeo per la protezione dei dati è chiamato ad emettere un parere, che, come recita l’art. 64, 7° comma, del Regolamento, l’autorità di controllo nazionale deve tenere in massima considerazione.

Ciò fa ritenere che in merito alle “liste” dei trattamenti soggetti a DPIA, il Comitato avrà un ruolo di armonizzazione, al netto di specifiche esigenze nazionali, non potendo ritenersi che determinati trattamenti siano trattati diversamente nell’ambito dell’Unione Europea, in presenza di un Regolamento avente pari vincolatività in tutti gli Stati membri.

Trattamenti per cui è d’obbligo la valutazione di impatto

Chiarito quanto sopra, possiamo esaminare brevemente i trattamenti che l’autorità belga ha incluso in quelli per cui la valutazione di impatto deve ritenersi obbligatoria. Essi sono:

  1. trattamenti che utilizzano dati biometrici per l’identificazione univoca di persone in un luogo pubblico o in un luogo privato accessibile al pubblico;
  2. quando i dati personali vengono raccolti da terzi per essere successivamente utilizzati ai fini della decisione di rifiutare o risolvere un determinato contratto di servizi con una persona fisica;
  3. quando il trattamento riguarda categorie particolari di dati personali, ai sensi dell’art. 9 GDPR, che sono (ri)utilizzati per uno scopo diverso da quello per il quale sono stati raccolti, tranne nel caso in cui il trattamento sia basato sul consenso dell’interessato o se è necessario per adempiere ad un obbligo legale a cui è sottoposto il titolare;
  4. quando il trattamento viene eseguito utilizzando un apparato ed una violazione dei dati personali potrebbe compromettere la salute fisica dell’interessato;
  5. nel caso di trattamento su larga scala di dati personali di soggetti vulnerabili, compresi i bambini, per uno o più scopi diversi da quelli per i quali i dati sono stati raccolti;
  6. quando i dati vengono raccolti su larga scala da terze parti per analizzare o prevedere la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, la posizione o il movimento di persone fisiche;
  7. quando particolari categorie di dati personali ai sensi dell’articolo 9 GDPR o dati di natura molto personale (come i dati sulla povertà, disoccupazione, partecipazione al lavoro giovanile o lavoro sociale, dati di attività domestiche e private, dati di localizzazione) sono sistematicamente scambiati tra diversi titolari;
  8. quando si tratta di elaborazione su larga scala di dati generati da dispositivi dotato di sensori che inviano dati via Internet o altri mezzi (Internet of Things, come smartTV, elettrodomestici intelligenti, giocattoli, smart cities, contatori intelligenti di energia, ecc.) e tale trattamento viene utilizzato per analizzare o prevedere la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, la posizione o il movimento delle persone fisiche;
  9. quando si tratta di elaborazione su larga scala e/o sistematica di dati di telefonia, Internet o altri dati di comunicazione, metadati o dati di localizzazione di persone fisiche o che consentano di condurre a persone fisiche (ad es. tracciamento wifi o elaborazione dei dati sulla posizione dei viaggiatori nel trasporto pubblico) quando il trattamento non è strettamente necessario per l’esecuzione di un servizio richiesto dall’interessato;
  10. in caso di elaborazione automatizzata e sistematica di dati personali su larga scala in cui il comportamento delle persone fisiche è monitorato, raccolto, stabilito o influenzato, inclusi i trattamenti per scopi pubblicitari.

Trattamenti per cui è esclusa una valutazione di impatto

Come evidenziato l’Autorità nazionale belga si è avvalsa anche della facoltà prevista dall’art. 35 GDPR di indicare quali trattamenti devono invece ritenersi esclusi dalla necessità di una valutazione di impatto, con ciò fornendo sicuramente importanti indicazioni agli operatori.

Non è quindi necessario, per l’autorità di controllo belga, effettuare la DPIA per:

  1. i trattamenti effettuati da privati necessari ad adempiere ad un obbligo normativo, e per i quali la legge abbia indicato gli scopi dell’elaborazione, le categorie di dati personali e le garanzie per prevenire abusi o accessi o trasferimenti illegittimi;
  2. il trattamento relativo esclusivamente ai dati necessari per l’amministrazione degli stipendi dei dipendenti del Titolare, quando i dati sono utilizzati unicamente per tale finalità, sono comunicati solo ai destinatari autorizzati a tale scopo e non vengono conservati più a lungo del tempo necessario per conseguire la finalità del trattamento;
  3. il trattamento relativo esclusivamente all’amministrazione dei dipendenti del Titolare, nella misura in cui tale trattamento non coinvolge i dati relativi alla salute degli interessati o altre particolari categorie di dati di cui all’art. 9 GDPR o dati di cui all’art. 10 GDPR, ed i dati personali non vengono conservati più a lungo del tempo richiesto per la finalità di amministrazione del personale e sono comunicati a terzi solo se previsto da una disposizione di legge o regolamentare o per la realizzazione delle finalità del trattamento;
  4. trattamenti di dati personali che riguardano esclusivamente la contabilità del Titolare, quando i dati vengono utilizzati esclusivamente per tale finalità, e purché i dati personali non sono conservati più a lungo del tempo necessario al conseguimento delle finalità del trattamento ed i dati personali trattati sono comunicati a terzi in base ad una previsione di legge o la comunicazione è necessaria per la contabilità;
  5. il trattamento di dati personali relativi all’amministrazione di azionisti e soci quando il trattamento riguarda solo i dati necessari per tale amministrazione, e sono comunicati a terzi esclusivamente in base ad una previsione di legge o regolamentare e non vengono conservati oltre il tempo necessario per raggiungere gli scopi del trattamento;
  6. il trattamento di dati personali da parte di una fondazione, associazione o qualsiasi altra istituzione senza scopo di lucro in occasione delle sue attività abituali, a condizione che il trattamento riguardi esclusivamente i dati personali relativi ai propri membri, alle persone con cui il Titolare mantiene contatti regolari quali beneficiari, purché non vi siano dati ottenuti da terzi, e che i dati non vengano conservati più a lungo del tempo richiesto per l’amministrazione e siano comunicati a terzi solo in presenza di una disposizione di legge o regolamentare;
  7. il trattamento di dati personali relativo alla registrazione dei visitatori per il controllo accessi, quando i dati elaborati sono limitati al nome ed indirizzo professionale del visitatore, all’identificazione del suo datore di lavoro, all’identificazione del veicolo, al nome, la sezione e la funzione della persona visitata ed al momento della visita, ed i dati non sono conservati oltre il tempo necessario alla finalità di controllo accessi;
  8. il trattamento di dati personali da parte di istituti di formazione per la gestione dei loro rapporti con gli alunni e studenti, purché il trattamento si riferisca solo a studenti attuali e potenziali o ad ex studenti e non vengano trattati dati ottenuti da terzi, e la comunicazione avvenga unicamente sulla base di una disposizione normativa o regolamentare ed il dato non sia conservato per un periodo superiore a quello necessario a mantenere la comunicazione tra lo studente e l’istituto;
  9. il trattamento di dati personali relativi esclusivamente alla gestione dei clienti e fornitori del Titolare, purché il trattamento riguardi solo clienti e fornitori attuali o precedenti e non siano ricomprese particolari categorie di dati, ex art. 9 GDPR o dati di cui all’art. 10 GDPR, e per quanto riguarda l’amministrazione della clientela, non vengano registrati dati forniti da terzi, ed i dati siano conservati per il periodo necessario alla normale gestione della clientela del Titolare e siano comunicati a terzi solamente in base ad una norma di legge o di regolamento o nel quadro della normale gestione aziendale.

Come si può facilmente comprendere dalla semplice lettura la lista dei trattamenti esclusi dall’obbligo di DPIA coinvolge sia trattamenti che già di per sé non rientrano nell’ambito delle previsioni dell’art. 35, sia altri trattamenti che in realtà potrebbero ricadervi (i trattamenti degli interessati cd. vulnerabili, quali i dipendenti, gli studenti, etc.).

Sicuramente però l’espressa elencazione delle tipologie di trattamenti ricomprese ed escluse dall’obbligo appare di grande utilità per gli operatori ed, auspicando che la nostra Autorità nazionale segua le orme di quella belga, può essere utile anche a chi deve orientarsi in questo periodo di prima applicazione della nuova normativa.

Articoli correlati