IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI
Nella riunione odierna, in presenza del dott. Antonello Soro,
presidente, della dott.ssa Augusta Iannini, vice presidente, della
dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano,
componenti, e del dott. Giuseppe Busia, segretario generale;
Visto il regolamento (UE) n. 2016/679 del Parlamento europeo e del
Consiglio del 27 aprile 2016, relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonche' alla
libera circolazione di tali dati e che abroga la direttiva 95/46/CE
(regolamento generale sulla protezione dei dati, di seguito «RGPD»);
Visto, in specie, l'art. 35, paragrafo 1, del RGPD, che stabilisce
l'obbligo per il titolare di effettuare, prima dell'inizio del
trattamento, una valutazione dell'impatto del trattamento medesimo,
laddove quest'ultimo possa presentare un rischio elevato per i
diritti e le liberta' delle persone fisiche, «allorche' preved[a] in
particolare l'uso di nuove tecnologie, considerati la natura,
l'oggetto, il contesto e le finalita' [...]»;
Visto il paragrafo 3 del medesimo articolo, che individua alcune
ipotesi in cui e' richiesta la valutazione d'impatto;
Visto il paragrafo 10 del predetto art. 35, che individua invece le
ipotesi in cui tale valutazione non e' richiesta, in particolare
«qualora il trattamento effettuato ai sensi dell'art. 6, paragrafo 1,
lettere c) o e), trovi nel diritto dell'Unione o nel diritto dello
Stato membro cui il titolare del trattamento e' soggetto una base
giuridica, tale diritto disciplini il trattamento specifico o
l'insieme di trattamenti in questione, e sia gia' stata effettuata
una valutazione d'impatto sulla protezione dei dati nell'ambito di
una valutazione d'impatto generale nel contesto dell'adozione di tale
base giuridica [...], salvo che gli Stati membri ritengano necessario
effettuare tale valutazione prima di procedere alle attivita' di
trattamento»;
Considerato che l'art. 35, paragrafo 4, rimette alle autorita' di
controllo nazionali il compito di redigere e rendere pubblico un
elenco delle tipologie di trattamenti soggetti al requisito di una
valutazione d'impatto e di comunicarlo al Comitato europeo per la
protezione dei dati di cui all'art. 68 del RGPD;
Considerato che il paragrafo 6 del citato art. 35 stabilisce
l'applicazione del meccanismo di coerenza di cui all'art. 63 del
RGPD, da parte della singola autorita' di controllo competente,
qualora l'elenco comprenda «attivita' di trattamento finalizzate
all'offerta di beni o servizi a interessati o al monitoraggio del
loro comportamento in piu' stati membri, o attivita' di trattamento
che possono incidere significativamente sulla libera circolazione dei
dati personali all'interno dell'Unione»;
Viste le indicazioni contenute nei «considerando» numeri 71, 75 e
91 del RGPD;
Viste le «Linee guida in materia di valutazione d'impatto sulla
protezione dei dati e determinazione della possibilita' che il
trattamento "possa presentare un rischio elevato" ai fini del
regolamento (UE) n. 2016/679» del Gruppo di lavoro art. 29 per la
protezione dei dati del 4 aprile 2017, come modificate e adottate da
ultimo il 4 ottobre 2017 e fatte proprie dal Comitato europeo per la
protezione dei dati il 25 maggio 2018 (di seguito «WP 248, rev. 01»),
che hanno individuato i seguenti nove criteri da tenere in
considerazione ai fini dell'identificazione dei trattamenti che
possono presentare un «rischio elevato»: 1) valutazione o
assegnazione di un punteggio, inclusiva di profilazione e previsione,
in particolare in considerazione di «aspetti riguardanti il
rendimento professionale, la situazione economica, la salute, le
preferenze o gli interessi personali, l'affidabilita' o il
comportamento, l'ubicazione o gli spostamenti dell'interessato»; 2)
processo decisionale automatizzato che ha effetto giuridico o incide
in modo analogo significativamente sulle persone; 3) monitoraggio
sistematico degli interessati; 4) dati sensibili o dati aventi
carattere altamente personale; 5) trattamento di dati su larga scala;
6) creazione di corrispondenze o combinazione di insiemi di dati; 7)
dati relativi a interessati vulnerabili; 8) uso innovativo o
applicazione di nuove soluzioni tecnologiche od organizzative; 9)
quando il trattamento in se' «impedisce agli interessati di
esercitare un diritto o di avvalersi di un servizio o di un
contratto»);
Rilevato che il ricorrere di due o piu' dei predetti criteri e'
indice di un trattamento che presenta un rischio elevato per i
diritti e le liberta' degli interessati e per il quale e' quindi
richiesta una valutazione d'impatto sulla protezione dei dati (cfr.
WP 248, rev. 01, pag. 11);
Considerato che il garante ha predisposto un elenco delle tipologie
di trattamento ai sensi dell'art. 35, paragrafo 4 da sottoporre a
valutazione d'impatto;
Considerato che le previsioni di cui all'art. 35, paragrafo 1 del
RGPD, che dispongono che «quando un tipo di trattamento, allorche'
prevede in particolare l'uso di nuove tecnologie, considerati la
natura, l'oggetto, il contesto e le finalita' del trattamento, puo'
presentare un rischio elevato per i diritti e le liberta' delle
persone fisiche, il titolare del trattamento effettua, prima di
procedere al trattamento, una valutazione dell'impatto dei
trattamenti previsti sulla protezione dei dati personali», prevalgono
in ogni caso;
Considerato altresi' che il predetto elenco e' stato predisposto
sulla base del WP 248, rev. 01, allo scopo di specificarne
ulteriormente il contenuto e a complemento dello stesso;
Rilevato che tale elenco e' stato comunicato in data 11 luglio 2018
al Comitato per il prescritto parere (art. 35, paragrafi 4 e 6, e
dall'art. 64, paragrafo 1, lettera a), del RGPD);
Viste le osservazioni rese dal Comitato nel parere adottato il 25
settembre 2018 e notificato il 2 ottobre 2018 (disponibile su
https://edpb.europa.eu);
Ritenuto, in ottemperanza a quanto previsto dall'art. 64, paragrafo
7, del RGPD, di aderire alle osservazioni contenute nel suddetto
parere e di modificare, in conformita', il relativo progetto di
decisione e di darne comunicazione al presidente del Comitato;
Rilevato che tale elenco e' riferito esclusivamente a tipologie di
trattamento soggette al meccanismo di coerenza e che non e'
esaustivo, restando fermo quindi l'obbligo di adottare una
valutazione d'impatto sulla protezione dei dati laddove ricorrano due
o piu' dei criteri individuati dal WP 248, rev. 01 e che in taluni
casi «un titolare del trattamento puo' ritenere che un trattamento
che soddisfa soltanto uno [dei predetti] criteri richieda una
valutazione d'impatto sulla protezione dei dati» (cfr. WP 248, rev.
01, pag. 11);
Rilevato, altresi', che il predetto elenco potra' essere
ulteriormente modificato o integrato anche sulla base delle
risultanze emerse nel corso della prima fase di applicazione del
RGPD;
Viste le osservazioni formulate dal segretario generale ai sensi
dell'art. 15 del regolamento del garante n. 1/2000;
Relatore il dott. Antonello Soro;
Tutto cio' premesso:
a) ai sensi degli articoli 35, paragrafo 4, e 57, paragrafo 1,
lettera k), del RGPD fermo restando quanto indicato nel richiamato WP
248, rev. 01, individua l'elenco delle tipologie di trattamenti,
soggetti al meccanismo di coerenza, da sottoporre a valutazione
d'impatto, riportate nell'allegato 1 facente parte integrante del
presente provvedimento, che specificano quanto riportato nel citato
WP 248, rev. 01;
b) ai sensi dell'art. 64, paragrafo 7 del RGPD comunica al
presidente del Comitato il presente provvedimento che recepisce i
rilievi formulati nel parere richiamato in premessa;
c) invia copia della presente deliberazione all'Ufficio
pubblicazione leggi e decreti del Ministero della giustizia ai fini
della sua pubblicazione nella Gazzetta Ufficiale della Repubblica
italiana.
Roma, 11 ottobre 2018
Il presidente e relatore: Soro
Il segretario generale: Busia