Novembre 2018 è davvero il mese del Garante per la protezione dei dati personali. Al netto di un trasloco che di recente ha interessato tutto l’Ufficio – dallo storico indirizzo di Piazza di Monte Citorio 121, a cui da qualche anno si era aggiunto l’altrettanto prestigioso Palazzo del Tempo in Piazza Colonna a Roma, all’altrettanto importante ed iconico nuovo indirizzo di Piazza Venezia, 11 – si registra una serie di primi rilevanti provvedimenti adottati dalla nostra Autorità di controllo e garanzia proprio in questo scorcio di fine anno, l’anno del Gdpr.
Dall’importantissimo provvedimento sulla fatturazione elettronica a quello sulle semplificazioni per i trattamenti svolti dagli Enti No Profit, alle precisazioni sulla dizione di padre e madre su carte di identità, alla scheda informativa sui diritti degli interessati previsti dal Gdpr. Sopra tutti, però, si erge il provvedimento contenente l’elenco delle tipologie di trattamenti transfrontalieri soggetti al requisito di una Valutazione d’Impatto sulla Protezione dei Dati Personali (DPIA).
Come noto, la Dpia è lo strumento cardine con il quale il titolare del trattamento effettua un’attenta analisi dei rischi derivanti dai trattamenti posti in essere nell’ambito delle proprie attività. L’art. 35 del Gdpr ne contestualizza la portata, attraverso l’indicazione di macro-criteri attraverso i quali è possibile individuare i casi in cui la Dpia si renda necessaria.
Per far fronte alla difficoltosa contestualizzazione dell’art. 35, il Gruppo di Lavoro di cui all’Articolo 29 della abrogata Direttiva 95/46/Ce (“WP29”, dal 25 maggio sostituito dall’European Data Protection Board, “Edbp”) ha licenziato, già il 4 aprile 2017 (poi modificate il 4 ottobre dello stesso anno), le Linee Guida relative alla Valutazione d’Impatto (WP 248 rev.01, le “Linee Guida”). In tale meticoloso documento, il WP29 ha tradotto i macro-criteri indicati al comma 3 dell’art. 35 in nove parametri utili all’individuazione dei casi in cui sia necessario predisporre una Dpia. Tra questi, a titolo meramente esemplificativo, si annoverano: la creazione di corrispondenze o combinazioni di insieme di dati (ad esempio, trattamenti ulteriori rispetto alle originarie finalità o dati raccolti da diversi titolari); il trattamento di dati relativi a interessati vulnerabili (minori, dipendenti, ecc.).
Tuttavia, tali parametri non sono sufficienti a completare il quadro di riferimento in cui una Dpia deve essere svolta. Il comma 5 dell’art. 35 concede alle Autorità di controllo la possibilità di redigere un elenco di tipologie di trattamenti per i quali si rende necessario effettuare una valutazione dei rischi, da queste derivanti, per i diritti e le libertà degli interessati. Per tale ragione, il Garante per la Protezione dei Dati Personali, assieme alle altre Autorità europee, ha predisposto un elenco che, prima di essere pubblicato in Gazzetta Ufficiale, è stato oggetto di parere da parte dell’Edbp, come stabilito dall’art. 64 del Gdpr.
Il parere dell’Edbp – espresso in osservanza al meccanismo di c.d. coerenza – è necessario qualora si voglia disciplinare un trattamento i cui effetti travalicano i confini di un solo Stato nazionale e sono idonei a produrre impatti a livello transfrontaliero tra due o più Paesi dell’Unione Europea.
A seguito della posizione assunta dal Board (Opinion 12/2018), il 25 settembre scorso, il Garante, con provvedimento dell’11 ottobre 2018, ha reso noto il proprio elenco che assume carattere vincolante ma, è bene sottolinearlo, non esaurisce gli ambiti di svolgimento della Dpia. La ragione è rilevata dallo stesso Garante nel relativo provvedimento, il quale afferma che “tale elenco è riferito esclusivamente a tipologie di trattamento soggette al meccanismo di coerenza e […] non è esaustivo, restando fermo quindi l’obbligo di adottare una valutazione d’impatto sulla protezione dei dati laddove ricorrano due o più dei criteri individuati [dalle Linee Guida]”. Tenendo, comunque, in considerazione la stretta correlazione tra la Dpia e il principio di privacy-by-design.
Nel recepire tutte le considerazioni dell’Edbp nell’ambito del meccanismo di coerenza, il Garante ha individuato dodici tipologie di trattamenti soggette ad obbligo di Dpia , elencate nell’Allegato 1 al Provvedimento dell’11 ottobre scorso. E il quadro prospettato da tale elenco sembrerebbe andare nella direzione di un ampliamento, da parte dell’Autorità della portata dell’obbligo di Dpia.
Volgendo lo sguardo per un attimo alla quotidianità di tanti titolari del trattamento, piccoli, medi e grandi, sono tante le attività che ricadono nell’obbligo di valutazione degli impatti. Non bisogna dimenticare, tuttavia, che una valutazione costante dei trattamenti è nello spirito del Regolamento e, come tale, la rivoluzionaria funzione di questo strumento permetterebbe ad ogni titolare di essere pronto ad ogni evenienza e di poter svolgere le proprie attività di business con consapevolezza, riuscendo a generare fiducia da parte dei soggetti interessati.
Il procedimento che viene richiesto di mettere in piedi ai sensi dell’art. 35 del Gdpr (e del 36, in caso di mancata mitigazione interna degli impatti, con relativo obbligo di ricorrere allo strumento della consultazione preventiva del Garante) è peraltro necessario introiettare quanto più possibile nei processi aziendali a qualsiasi livello, considerata la sua validità anche in tutti i casi in cui si debba adempiere all’obbligo di c.d. Privacy by Design e Privacy by Default – altro caposaldo della nuova disciplina introdotta dal Gdpr, i cui tratti, tuttavia, restano ancora più oscuri, nonostante l’assoluta innovatività ed importanza di tale strumento, anche in ragione della incalzante diffusione e commercializzazione di beni e servizi basati sull’uso dell’intelligenza artificiale.
