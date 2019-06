privacy

Circolare 31 maggio 2019

Con la circolare del 31 maggio scorso, inviata a tutti gli Uffici di Via Arenula e per conoscenza al Garante, la Responsabile per la protezione dei dati personali del Ministero della Giustizia, Doris Lo Moro, ha fornito le indicazione e prodotto i modelli per ottemperare al Regolamento generale sulla protezione dei dati (Regolamento UE 2016/679). Quando il trattamento «può presentare un rischio elevato per i diritti e le libertà delle persone fisiche», l'elemento chiave diventa la «Valutazione d'impatto sulla protezione dei dati (cd. DPIA)». In questi casi il titolare del trattamento dovrà effettuare, anticipatamente, una valutazione dell'impatto sulla protezione dei dati personali" (art. 35, Reg.) che ha il fine di determinare, in particolare, l'origine, la natura, la particolarità e la gravità del rischio (Considerando n. 84).



Le "Linee Guida" elaborate, in sede europea, dal "Gruppo di Lavoro Articolo 29 per la Protezione dei Dati" del 4 ottobre 2017, e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018, chiariscono la responsabilità della DPIA spetta al titolare anche se la conduzione materiale della valutazione di impatto può essere affidata a un altro soggetto, interno o esterno all'organizzazione. In particolare, la valutazione è richiesta a fronte di: a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; b) il trattamento, su larga scala, di dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché di dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona o di dati relativi a condanne penali e a reati; c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico. L'elenco, precisa la circolare, «non è tassativo ma meramente esemplificativo».



Il Garante per la protezione dei dati personali, con provvedimento dell'11 ottobre 2018, ha introdotto un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati. Secondo il Garante la valutazione non è obbligatoria per ciascun trattamento ma solo per quello che può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Il riferimento a «diritti e libertà» degli interessati riguarda principalmente i diritti alla protezione dei dati e alla vita privata, ma include anche altri diritti fondamentali quali la libertà di parola, la libertà di pensiero, la libertà di circolazione, il divieto di discriminazione, il diritto alla libertà di coscienza e di religione. Se il «rischio elevato» non può essere attenuato, per esempio attraverso accorgimenti tecnologici o maggiori costi, si deve consultare il Garante.

In definitiva il procedimento delineato prevede che: se il trattamento può comportare un rischio elevato e non ricorrono ipotesi che lo escludano, il titolare del trattamento deve procedere a fare una valutazione d'impatto, previa acquisizione del parere del responsabile per la protezione dei dati. Se, all'esito della DPIA, residua un rischio elevato, il titolare del trattamento deve procedere a consultazione preventiva. Infine, la circolare precisa che il parere del responsabile della protezione dei dati non è vincolante per il titolare il quale può discostarsi dalle indicazioni ricevute: tuttavia, in casi del genere, il RPD conserva il potere di sorveglianza che l'art. 39, par. 1, lett. b) Reg. gli riconosce. In ogni caso, il parere ricevuto dal titolare del trattamento deve essere documentato all'interno della DPIA.



Per «semplificare il dialogo» tra titolare e responsabile per la protezione dei dati, con la circolare sono stati predisposti tre modelli: n. 1) Richiesta del parere al responsabile per la protezione dei dati personali; n. 2) Valutazione d'impatto; n. 3 C omunicazione degli aggiornamenti al responsabile per la protezione dei dati personali.



IL TESTO DELLA CIRCOLARE E I MODELLI