In data 3 ottobre 2018 il Comitato europeo per la protezione dei dati personali (“EDPB” o il “Comitato”) ha pubblicato l’“Opinion 12/2018 on the draft list of the competent supervisory authority of Italy regarding the processing operations subject to the requirement of a data protection impact assessment” in riferimento all’elenco sottoposto dal Garante per la protezione dei dati personali con riguardo alle tipologie di trattamento soggette all’esecuzione di una Valutazione d’impatto sulla protezione dei dati personali (“DPIA”) ai sensi dell’art. 35 GDPR. Il Comitato ha il compito di esaminare e armonizzare gli elenchi, al fine di evitare incongruenze che potrebbero incidere sulla protezione equivalente dei soggetti interessati nei vari Stati membri. Pertanto, il Comitato fornisce indicazioni alle Autorità di Controllo al fine di:
  • includere alcune tipologie di trattamento nei loro elenchi;
  • rimuovere alcuni criteri non considerati idonei a presentare un rischio elevato per gli interessati; e infine
  • usare alcuni criteri in modo armonizzato.
Il Comitato ha, altresì, indicato nel parere in oggetto, quali correzioni e/o miglioramenti apportare alla lista, riassunti qui di seguito:
  • natura dell’elenco e linee guida WP248 del WP29 sulla DPIA: indicare che la lista è a titolo esemplificativo e far riferimento alle linee guida sulla DPIA del WP29;
  • trattamento di dati biometrici: non è di per sé idoneo a creare un rischio elevato per i diritti e le libertà degli interessati e dunque può essere incluso nella lista solo ove finalizzato a identificare univocamente una persona fisica e in presenza di almeno uno dei criteri contemplati all’art. 35;
  • trattamento di dati genetici: non è di per sé idoneo a creare un rischio elevato per i diritti e le libertà degli interessati e dunque può essere incluso nella lista solo in presenza di almeno uno dei criteri previsti all’art. 35 §3;
  • trattamento connesso all’utilizzo di nuove tecnologie o innovazioni tecnologiche: far riferimento alle tecnologie innovative e aggiungere che non è di per sé idoneo a creare un rischio elevato per i diritti e le libertà degli interessati e dunque può essere incluso nella lista solo in presenza di almeno un alto dei criteri previsti all’art. 35 §3;
  • trattamento connessi al monitoraggio dei dipendenti: fare esplicito riferimento ai due criteri presenti nelle linee guida sulla DPIA del WP29 (i.e. monitoraggio sistematico e dati riguardanti interessati appartenenti a fasce deboli);
  • ulteriori trattamenti: non comportano l’obbligo di esecuzione della DPIA né da solo né in presenza di un altro criterio e pertanto si richiede di rimuovere questo criterio della lista;
  • trattamenti connessi all’utilizzo di una specifica base giuridica: non comporta l’obbligo di esecuzione della DPIA né da solo né in presenza di un altro criterio e pertanto si richiede di rimuovere questo criterio della lista.
Il Garante Privacy dovrà comunicare al Comitato se intende emendare o mantenere la propria lista entro due settimane dopo aver ricevuto il parere in oggetto. In quest’ultimo caso, dovrà indicare i fondati motivi per cui non intende seguire, in tutto o in parte, i suggerimenti del Comitato. Alla luce di quanto sopra, si suggerisce alle aziende che hanno già effettuato o intrapreso l’adeguamento al GDPR di monitorare l’elenco definitivo del Garante Privacy in merito alle tipologie di trattamenti per i quali è obbligatoria la DPIA e di tenerne conto per l’esecuzione della DPIA.