09/11/2018

GARANTE EUROPEO VS GARANTE ITALIANO SUI TRATTAMENTI DA SOTTOPORRE A VALUTAZIONE DI IMPATTO AI SENSI DELL’ART. 35 DEL GDPR

L'opinion 12/2018 espressa dal Comitato europeo per la protezione dei dati (“EDPB”) lo scorso 8 ottobre con riferimento alla lista dei trattamenti da sottoporre a valutazione di impatto (DPIA), sottopostale dal nostro Garante per la Privacy, è un documento estremamente interessante, anche perché fornisce una prima testimonianza di come si atteggerà il rapporto tra l'Authority centrale e quelle nazionali nella lettura ed applicazione delle norme europee sulla privacy (https://edpb.europa.eu/sites/edpb/files/files/file1/2018-09-25-opinion_2018_art._64_it_sas_dpia_list_en.pdf).

Ciò di cui si è molto parlato è che con questo parere l’EDPB ha avallato la posizione del Garante italiano in tema di sistemi di controllo a distanza dei lavoratori, ritenendo necessario sottoporre a DPIA il trattamento derivante da detti sistemi, ferma restando – va aggiunto – la necessità di rispettare i requisiti (anche procedurali) dell’art. 4 dello Statuto dei lavoratori.

Si è parlato poco, invece, del fatto che la proposta del Garante, in armonia con il suo approccio tipicamente garantista, era quella di far scattare l’obbligo della DPIA in qualsiasi ipotesi di trattamento di dati genetici o biometrici o di utilizzo di nuove tecnologie o di ricorso ad una “determinata base giuridica” (espressione che leggendo il parere appare criptica, ma che in realtà si spiega almeno in parte con quanto mi accingo a segnalare).

Il parere dell’EDPB ha voluto ridimensionare la posizione massimalistica della nostra Authority, precisando (in armonia con quanto previsto dall’art. 35.1 del GDPR) che l’obbligo di condurre la DPIA nei casi proposti dal Garante italiano scatta solo nelle ipotesi in cui ricorra almeno una delle altre condizioni previste nelle Linee Guida sulla valutazione d’impatto elaborate dal WP29 (solo per fare qualche esempio: trattamento su larga scala o riguardante interessati vulnerabili o dati sensibili, monitoraggio sistematico). In caso contrario, la DPIA non può essere considerata obbligatoria.

Sulla scorta di questo ragionamento va revocata in dubbio la conformità con l’art. 35 del GDPR, così come interpretato dal suo organo consultivo, del Provvedimento generale del Garante della privacy del 22 febbraio 2018 (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8080493). Con questo provvedimento dall’impatto pratico potenzialmente dirompente eppure passato in quasi totale sordina, il Garante aveva già dato applicazione all’approccio oggi criticato dall’EDPB, segnalando la necessità di effettuare la DPIA tutte le volte in cui il trattamento dei dati personali fosse basato sul legittimo interesse del titolare.

Queste prescrizioni, oggi, non possono più essere ritenute obbligatorie, ed in molti casi direi fortunatamente.

Aspettiamo comunque la “lista 2.0”, che il Garante per la Privacy dovrà sottoporre all’EDPB in conformità alle indicazioni contenute nell’opinion 12/2018, con la non recondita certezza che riserverà ancora qualche sorpresa.

Federica Brevetti