La pubblicazione, qualche giorno fa, da parte dell’European Data Protection Board (l’“Edbp” o il “Comitato”, ossia l’organo che, dopo l’entrata in vigore del Regolamento n. 679/2016 (Gdpr), ha sostituito il vecchio Gruppo dei Garanti Europei, istituito dall’art. 29 della Direttiva 95/46, abrogata dal Gdpr), dell’“Opinion on the draft list of the competent supervisory authority of Italy regarding the processing operations subjects to the requirement of a data protection impact assessment”, costituisce un importante avvenimento per due motivi.
Innanzitutto, si tratta del primo vero esercizio dei poteri concessi al Comitato dal Gdpr. Infatti, ai sensi dell’art. 68 e seguenti, l’Edbp è divenuto a tutti gli effetti un organo dell’Unione, indipendente e con una lunga lista di compiti e poteri. Si tratta, dunque, della prima Opinion che tiene conto del principio di coerenza e che può portare alla sua applicazione effettiva.
Come noto, infatti, avendo i Regolamenti la funzione di uniformare a livello dei 28 Paesi dell’Unione europea la disciplina applicabile, riducendo al massimo le asimmetrie derivanti invece, in caso di recepimento di Direttive, dalle leggi di implementazione nazionale, nel caso di specie, il board agisce in primo luogo da guardiano del Gdpr ed interviene ogni volta che si renda necessaria una pronuncia che riaffermi la coerenza del sistema. L’Opinion appena pubblicata in materia di valutazione degli impatti relativi al trattamento dei dati, c.d. Dpia, dimostra come il Comitato non esiti ad utilizzare i poteri che gli sono concessi per perseguire quella finalità di “armonizzazione dei trattamenti transfrontalieri o che possono avere un impatto sullo spostamento dei dati personali all’interno dell’Unione Europea” che, in fondo, ha sotteso tutti i lavori al Gdpr: un aumento della facilità di circolazione dei dati assieme ad un aumento degli standard relativi alla loro protezione.
Effettività che, purtroppo, è stata messa in serio dubbio dalle leggi di armonizzazione nazionali adottate da quasi tutti gli Stati membri, a partire dalla Germania, fino al d.lgs. n. 101/2018 entrato in vigore in Italia il 19 settembre 2018, che come è noto ha modificato, mantenendolo in vita, il vecchio Codice Privacy di cui al d.lgs. n. 196/2003.
Nei mesi passati, 22 autorità di controllo, tra cui il Garante per la protezione dei dati personali, hanno inviato a Bruxelles – ai sensi dell’art. 35 (4 ) GDPR – l’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati (Dpia). Già sappiamo che si tratta di un in termini di accountability, da effettuarsi quando il trattamento presenta un rischio elevato per i diritti e le libertà delle persone fisiche.
Per prima cosa, il Comitato sottolinea che non vuole tanto creare “un’unica lista uguale in tutti gli Stati Membri” – cosa che in verità a mio parere sarebbe stata molto utile in questa fase – quanto evitare dei disallineamenti rilevanti tra di esse. Non si vuole, in altre parole, che all’obbligo di Dpia, ad esempio, in Irlanda per un determinato trattamento corrisponda solo una vaga eventualità in un altro Stato membro. Sia detto per inciso che, in questo senso, l’affermazione per la quale “le autorità di controllo hanno un certo margine di discrezionalità rispetto al contesto nazionale o regionale e dovrebbero tenere in considerazione la loro legislazione locale”, limita la discrezionalità ai soli trattamenti, per l’appunto, “necessariamente locali”, il cui raggio di azione è limitato a dispiegare i suoi effetti solamente in Italia, oppure con riferimento a quei trattamenti che sono strati oggetti di ulteriori prescrizioni ai sensi del d.lgs. n. 101/2018.
Con riferimento all’Italia, il Garante ha proposto una lista di sei ambiti di trattamento tipici che dovrebbero far scattare l’obbligo di Dpia rilevante a livello comunitario. A ben guardare, di questi sei, solo uno è stato accettato senza rilevanti modifiche dal Comitato, mettendo in luce, da un lato, la linea storicamente ‘garantista’ della nostra autorità di controllo, e dall’altro segnando un punto a favore del Board che non si è sottratto, in questa occasione, dal ritagliarsi da subito spazi rilevanti di regolazione comunitaria.
Un paio di esempi rilevanti: relativamente al controllo a distanza dei lavoratori, il Comitato concorda con il Garante che, in caso di controllo sistematico e in ragione della vulnerabilità della posizione dell’interessato, il trattamento può essere soggetto a Dpia, con l’obbligo però di esplicitare i due criteri previsti nel Provvedimento del Gruppo di lavoro WP248, che continua a trovare applicazione.
Bocciata invece la rilevanza di Dpia in caso di “trattamento ulteriore di dati personali” e “in riferimento ad una specifica base giuridica ”. Qui l’indicazione del Garante sarebbe stato utile trovasse pieno accoglimento a Bruxelles, considerati i dubbi, le incertezze e le sabbia mobilio che talune basi giuridiche, quali quelle basate sul legittimo interesse del titolare, stanno scatenando. Occorre che le Autorità si armino di maggiore coraggio a tal riguardo, sia in senso affermativo, che in quello negativo/prescrittivo. Soprattutto per un Paese come l’Italia, laddove fino a qualche mese fa sotto la vigenza del vecchio Codice Privacy il legittimo interesse era sempre soggetto all’apprezzamento preventivo del Garante, non è facile ora orientarsi in assenza di indicazioni chiare o senza aver prima condotto una adeguata Dpia.
Gli altri trattamenti elencati dal Garante possono infine essere raggruppati assieme in ragione della natura del riscontro dell’Edbp. Infatti, relativamente ai dati biometrici, genetici e ai trattamenti connessi all’uso di nuove tecnologie, il Comitato afferma che la mera natura del dato, o le sole caratteristiche del trattamento, non sono di per sé sufficienti a far sorgere l’obbligo di Dpia, ma essa devono essere almeno accompagnate da un altro degli elementi di cui all’art. 35 (3) Gdpr: sorveglianza sistematica su larga scala, trattamento automatizzato o categorie particolari di dati personali.
A questo punto, il Garante dovrà decidere se accogliere o respingere le considerazioni del Comitato che, ai sensi dell’art. 64 (7) Gdpr, devono essere tenute in “massima considerazione”. In caso di mancata conformazione, potremo essere spettatori della prima attivazione del meccanismo di coerenza ex art. 65 Gdpr: il meccanismo di risoluzione delle controversie da parte del Comitato. Occorre tenere nella massima considerazione questo passaggio delicato: le indicazioni fornite dall’Edbp riguardano tutti noi, sia perché la Dpia è uno degli obblighi più rilevanti in capo alle aziende, sia perché per essa passa il rispetto dei diritti degli interessati, ovvero di tutti noi.