29 luglio 2019
Adottata dal Garante europeo la lista di operazioni di trattamento soggette a DPIA ai sensi dell'art. 39 Reg. n. 2018/1725 per le istituzioni UE e la lista di trattamenti esclusi
L’Autorità garante dell’Unione Europea (EDPS - European Data Protection Supervisor) ha adottato e pubblicato i propri elenchi delle tipologie di operazioni di trattamento che richiedono una valutazione dell'impatto sulla protezione dei dati (DPIA) ai sensi dell'articolo 39 del Regolamento (UE) 23 ottobre 2018, n. 2018/1725 per le istituzioni dell'UE, nonché quelli che a prima vista non richiedono una DPIA.
L'EDPS ha adottato tali elenchi dopo aver consultato l'European Data Protection Board (EDPB) sulle bozze iniziali degli elenchi. Gli elenchi forniscono ulteriori indicazioni ai titolari del trattamento e completano la responsabilità dell’autorità sulla predisposizione di un set di strumenti di base.
Oltre agli elenchi, l'EDPS ha individuato i criteri da prendere in considerazione per valutare se il trattamento debba essere considerato ad alto rischio e, quindi, rientrando il trattamento in due o più dei criteri individuati, il titolare del trattamento è tenuto a procedere ad una DPIA.
Come le linee guida del gruppo di lavoro articolo 29 sulle DPIA, approvate dall'EDPB, questi elenchi forniscono un valido aiuto anche ai titolari del trattamento privati per consentire loro di valutare se devono effettuare una DPIA; le liste non sono esaustive.
Tra le operazioni di trattamento che l'EDPS ha individuato come positive alla DPIA, in quanto attivano due o più dei criteri individuati per valutare l’alto rischio del trattamento, rientrano:
- database di esclusione;
- trattamenti su scala di categorie particolari di dati personali (come sorveglianza delle malattie, farmacovigilanza, banche dati centrali per la cooperazione in materia di contrasto);
- analisi del traffico in internet rottura crittografia (strumenti di prevenzione della perdita di dati);
- strumenti di e-recruitment che preselezionano / escludono automaticamente i candidati senza intervento umano.
L'EDPS ha inoltre individuato un elenco non esaustivo di alcune operazioni comuni di trattamento che non richiedono un DPIA se effettuate da istituzioni, organismi, uffici e agenzie dell'Unione che agiscono in qualità di titolari unici o congiunti:
- gestione di file personali dei dipendenti;
- procedure di valutazione del personale standard in base allo statuto del personale (valutazione annuale);
- valutazioni standard a 360° per aiutare i membri del personale a sviluppare piani di formazione;
- procedure di selezione del personale standard;
- determinazione dei diritti al momento dell'entrata in servizio;
- telelavoro;
- sistemi di controllo degli accessi standard (non biometrici);
- CCTV standard su scala limitata (senza riconoscimento facciale, copertura limitata ai punti di entrata / uscita, solo in loco, non nello spazio pubblico).
Le DPIA rappresentano un nuovo concetto nel regolamento sulla protezione dei dati per le istituzioni dell'UE, rispecchiando disposizioni equivalenti nel GDPR.
L’iter corretto della "Valutazione d’impatto" o DPIA mira a garantire che i titolari del trattamento affrontino adeguatamente i rischi della privacy e garantiscano la protezione dei dati nelle operazioni di trattamento definite ad alto rischio.
Una DPIA fornisce un modello strutturato su come anticipare i rischi per gli interessati e in che modo mitigarli, supportando le organizzazioni e aiutandole ad adeguarsi ai requisiti di protezione dei dati richiesti dal GDPR dove è maggiormente necessario.
Le linee guida fornite nella documentazione presentata dal EDPS possono essere d’ausilio anche nel contesto dei trattamenti effettuati in ambito privato.