[size=18pt]VALUTAZIONE D'IMPATTO - parere sull'elenco DPIA del Garante Italiano[/size]
[img width=276 height=300]https://scontent.fcia1-1.fna.fbcdn.net/v/t1.0-9/43145690_10218404887022762_2825813474012037120_n.jpg?_nc_cat=104&oh=51a3a27294c08ef50499e0a0b1a2032f&oe=5C49D4AA[/img]
Opinion 12/2018 on the draft list of the competent supervisory authority of Italy regarding the processing operations subject to the requirement of a data protection
impact assessment (Article 35.4 GDPR)
Adopted on 25th September 2018
In allegato il testo originale in sola lingua inglese
*********************
TRADUZIONE IN ITALIANO tramite Google traduttore (non ufficiale)
[b]Parere 12/2018 sul progetto di elenco dell'autorità di vigilanza competente dell'Italia in merito alle operazioni di trattamento soggette all'obbligo di una valutazione d'impatto sulla protezione dei dati (articolo 35, paragrafo 4 GDPR)
Adottate il 25 settembre 2018 [/b]
Il comitato europeo per la protezione dei dati, visti l'articolo 63, l'articolo 64, paragrafi 1 bis, 3 e 8 e l'articolo 35, paragrafo 1 (3), (4), (6) del regolamento 2016/679 / UE del Parlamento europeo e del Consiglio, del 27 aprile 2016, sulla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché sulla libera circolazione di tali dati e abrogazione della direttiva 95/46 / CE (in appresso "GDPR"), visto l'accordo SEE, in particolare l'allegato XI e il protocollo 37, come modificato dalla decisione del comitato misto SEE n. 154 / 2018, del 6 luglio 2018, visti gli articoli 10 e 22 del suo regolamento interno del 25 maggio 2018, considerando quanto segue:
(1) Il ruolo principale del consiglio di amministrazione è garantire l'applicazione coerente del regolamento 2016/679 (qui dopo GDPR ) in tutto lo Spazio economico europeo. In conformità con l'articolo 64.1 GDPR, il Consiglio deve emettere un parere nel caso in cui un'autorità di vigilanza intenda adottare un elenco di operazioni di trattamento soggetto al requisito di una valutazione di impatto sulla protezione dei dati ai sensi dell'articolo 35.4 GDPR. L'obiettivo del presente parere è pertanto quello di creare un approccio armonizzato in materia di trattamento transfrontaliero che possa influire sul libero flusso di dati personali o persone fisiche in tutta l'Unione europea. Anche se il GDPR non impone una sola lista, promuove la coerenza. Il Board cerca di raggiungere questo obiettivo nei suoi pareri in primo luogo chiedendo alle SA di includere alcuni tipi di trattamento nei loro elenchi, in secondo luogo chiedendo loro di rimuovere alcuni criteri che il Consiglio non considera necessariamente rischiosi per gli interessati e infine richiedendoli di utilizzare alcuni criteri in modo armonizzato.
(2) Con riferimento all'articolo 35, paragrafi 4 e 6, del GDPR, le autorità di vigilanza competenti stabiliscono elenchi del tipo di operazioni di trattamento che sono soggette all'obbligo di una valutazione dell'impatto sulla protezione dei dati (di seguito "DPIA"). Tuttavia, essi applicano il meccanismo di coerenza laddove tali elenchi comportano operazioni di trattamento, che sono collegate all'offerta di beni o servizi agli interessati o al controllo del loro comportamento in diversi Stati membri, o possono incidere in modo sostanziale sulla libera circolazione dei dati all'interno dell'Unione.
(3) Sebbene i progetti di elenchi delle autorità di vigilanza competenti siano soggetti al meccanismo di coerenza, ciò non significa che gli elenchi debbano essere identici. Le autorità di vigilanza competenti dispongono di un margine discrezionale in relazione al contesto nazionale o regionale e dovrebbero tenere conto della loro legislazione locale. L'obiettivo della valutazione / parere dell'EDPB non è quello di raggiungere un singolo elenco UE, ma piuttosto evitare significative incoerenze che potrebbero influire sulla protezione equivalente degli interessati.
(4) L'esecuzione di una DPIA è obbligatoria il responsabile del trattamento ai sensi dell'articolo 35, paragrafo 1
GDPR in cui il trattamento "potrebbe comportare un alto rischio per i diritti e le libertà delle persone fisiche". L'articolo 35, paragrafo 3, del GDPR illustra ciò che potrebbe comportare un rischio elevato. Questo è un elenco non esaustivo. Il gruppo di lavoro 29 nelle linee guida sull'impatto sulla protezione dei dati
assessment1, come approvato dall'EDPB2, ha chiarito i criteri che possono aiutare a identificare quando le operazioni di trattamento sono soggette al requisito di una DPIA. Il gruppo di lavoro 29
Le linee guida WP248 affermano che nella maggior parte dei casi, un controller di dati può considerare che un'elaborazione
soddisfare due criteri richiederebbe la realizzazione di una DPIA, tuttavia, in alcuni casi, un dato
il controller può considerare che una riunione di elaborazione solo uno di questi criteri richiede un DPIA.
(5) Gli elenchi prodotti dalle autorità di controllo competenti sostengono lo stesso obiettivo
identificare le operazioni di trattamento che possono comportare un rischio elevato e operazioni di trattamento,
che quindi richiedono una DPIA. In quanto tale, i criteri sviluppati nel gruppo di lavoro 29
Gli orientamenti dovrebbero essere applicati nel valutare se i progetti di elenchi dei competenti
le autorità di vigilanza non pregiudicano l'applicazione coerente del GDPR.
(6) Ventidue autorità di vigilanza competenti hanno presentato i loro progetti di elenchi al
EDPB. Una valutazione globale di queste bozze di elenchi supporta l'obiettivo di una coerenza
applicazione del GDPR anche se aumenta la complessità della materia.
(7) Il parere dell'EDPB è adottato in combinato disposto con l'articolo 64, paragrafo 3, del GDPR
con l'articolo 10, paragrafo 2, del regolamento di procedura EDPB entro otto settimane dal primo adempimento
il giorno dopo il presidente e l'autorità di controllo competente hanno deciso che il file è
completare. Su decisione del presidente, questo periodo può essere prorogato di ulteriori sei settimane
tenendo conto della complessità della materia.
[color=red][b]HA ADOTTATO IL PARERE:[/b][/color]
[b]1. Riassunto dei fatti[/b]
Il Garante per la protezione dei dati personali (di seguito "Autorità di vigilanza italiana")
ha presentato la sua bozza di elenco all'EDPB. La decisione sulla completezza del file è stata presa
l'11 luglio 2018. Questo periodo fino al quale il parere da adottare è stato prorogato
fino al 25 settembre tenendo conto della complessità della materia
considerando che allo stesso tempo hanno presentato ventidue autorità di vigilanza competenti
i progetti di liste e quindi la necessità di una valutazione globale è emersa.
[color=red][b]2. Valutazione[/b][/color]
[b]2.1 Ragionamento generale dell'EDPB relativo all'elenco presentato[/b]
Qualsiasi lista presentata all'EDPB è stata interpretata come ulteriore specifica dell'articolo 35.1, che lo farà
prevalere in ogni caso. Pertanto, nessuna lista può essere esaustiva. Come l'elenco fornito dal Supervisory italiano
L'autorità non lo dichiara esplicitamente, la commissione chiede che questa spiegazione sia aggiunta al
documento contenente l'elenco.
In conformità con l'articolo 35.10 GDPR, il Consiglio è del parere che se un DPIA ha già
stato effettuato nell'ambito di una valutazione d 'impatto generale nel contesto dell'adozione del
base giuridica l'obbligo di effettuare una DPIA conformemente ai paragrafi da 1 a 7 dell'articolo
35 GDPR non si applica, a meno che lo Stato membro lo ritenga necessario.
Inoltre, se il Consiglio richiede una DPIA per una determinata categoria di elaborazione e un equivalente
misura è già richiesta dalla legislazione nazionale, l'Autorità di vigilanza italiana aggiungerà a
riferimento a questa misura.
Il presente parere non riflette gli argomenti sottoposti dall'Autorità di Vigilanza italiana, che
sono stati considerati al di fuori del campo di applicazione dell'articolo 35.6 GDPR. Questo si riferisce a articoli che non riguardano
"All'offerta di beni o servizi agli interessati" in diversi Stati membri o al
monitoraggio del comportamento degli interessati in vari Stati membri. Inoltre, lo sono
non è probabile che "influenzi sostanzialmente la libera circolazione dei dati personali all'interno dell'Unione". Questo
riguarda in particolar modo le voci relative alla legislazione nazionale e in particolare laddove il
l'obbligo di effettuare una DPIA è previsto dalla legislazione nazionale. Inoltre, qualsiasi elaborazione
le operazioni che riguardano le forze dell'ordine sono considerate fuori dal campo di applicazione, in quanto non rientrano nel campo di applicazione
del GDPR.
Il consiglio di amministrazione ha rilevato che diverse autorità di vigilanza hanno inserito alcuni dei loro elenchi
tipi di elaborazione che sono necessariamente elaborazione locale. Dato che solo il confine
elaborazione e trattamento che possono influire sul libero flusso di dati personali e di dati
sono interessati dall'articolo 35.6, il Consiglio non farà commenti su tali elaborazioni locali.
Il parere mira a definire un nucleo coerente di operazioni di elaborazione ricorrenti in
gli elenchi forniti dalle SA.
Ciò significa che, per un numero limitato di tipi di operazioni di elaborazione, sarà definito
in modo armonizzato, tutte le Autorità di vigilanza richiederanno la realizzazione di una DPIA e
la Commissione raccomanderà alle SA di modificare i loro elenchi di conseguenza per garantire
consistenza.
Quando questo parere rimane in silenzio sulle voci della lista DPIA presentate, significa che il Consiglio è
non chiedere all'Autorità di vigilanza italiana di intraprendere ulteriori azioni.
Infine, la Commissione ricorda che la trasparenza è fondamentale per i responsabili del trattamento e i responsabili del trattamento dei dati. In
Per chiarire le voci nella lista, la Commissione è del parere che rendere esplicito
riferimento negli elenchi, per ciascun tipo di trattamento, ai criteri indicati negli orientamenti
migliorare questa trasparenza. Pertanto, la commissione ritiene che una spiegazione su cui
i criteri sono stati presi in considerazione dall'Autorità di vigilanza italiana per creare il proprio elenco
potrebbe essere aggiunto.
[b]2.2 Applicazione del meccanismo di coerenza alla lista delle bozze[/b]
La bozza di lista presentata dall'Autorità di vigilanza italiana si riferisce all'offerta di beni
o servizi alle persone interessate, si riferisce al monitoraggio del loro comportamento in diversi Stati membri
Stati membri e / o possono incidere sostanzialmente sulla libera circolazione dei dati personali all'interno dell'Unione
principalmente perché le operazioni di elaborazione nella bozza di lista presentata non sono limitate ai dati
soggetti in questo paese.
[b]2.3 Analisi della bozza di lista[/b]
Tenendo conto che:
un. L'articolo 35, paragrafo 1, del GDPR richiede una DPIA quando è probabile che l'attività di trattamento porti a
alto rischio per i diritti e le libertà delle persone fisiche; e
b. L'articolo 35, paragrafo 3, del GDPR fornisce un elenco non esaustivo dei tipi di trattamento che richiedono
una DPIA, la commissione è del parere che:
[b]NATURA INDICATIVA DELLA LISTA[/b]
Poiché l'elenco fornito dall'Autorità di Vigilanza italiana non prevede esplicitamente che il suo elenco non lo sia
esauriente, la Commissione richiede che questa spiegazione sia aggiunta al documento contenente il
elenco.
[b]RIFERIMENTO ALLE LINEE GUIDA[/b]
Il consiglio di amministrazione è dell'opinione che l'analisi fatta nel Gruppo di lavoro 29 Linee guida WP248
sono un elemento fondamentale per garantire la coerenza in tutta l'Unione. Quindi, richiede il diverso
Autorità di vigilanza per aggiungere una dichiarazione al documento contenente la loro lista che chiarisce
che il loro elenco si basa su queste linee guida e che integra e specifica ulteriormente il
linee guida.
Poiché il documento dell'Autorità di vigilanza italiana non contiene tale dichiarazione, il
Consiglio raccomanda all'Autorità di vigilanza italiana di modificare il proprio documento di conseguenza.
[b]DATI BIOMETRICI[/b]
La lista presentata dall'Autorità di vigilanza italiana per un parere del Consiglio di amministrazione afferma che
il trattamento dei dati biometrici rientra nell'obbligo di eseguire da solo una DPIA. Il
Consiglio è del parere che il trattamento dei dati biometrici da solo non sia necessariamente
probabilmente rappresenta un rischio elevato. Tuttavia, il trattamento di dati biometrici ai fini di
l'identificazione univoca di una persona fisica in combinazione con almeno un altro criterio richiede
una DPIA da eseguire. In quanto tale, il Consiglio chiede all'Autorità di Vigilanza italiana di
modificare di conseguenza l'elenco, aggiungendo che l'elemento che fa riferimento al trattamento dei dati biometrici
i dati allo scopo di identificare in modo univoco una persona fisica richiedono l'esecuzione di una DPIA
solo quando è fatto in congiunzione di almeno un altro criterio, da applicare senza
fatto salvo l'articolo 35, paragrafo 3, del GDPR.
[b]DATI GENETICI[/b]
La lista presentata dall'Autorità di vigilanza italiana per un parere del Consiglio di amministrazione afferma che
il trattamento dei dati genetici rientra nell'obbligo di eseguire un DPIA da solo. Il
Consiglio è del parere che il trattamento dei dati genetici da solo non sia necessariamente probabile
rappresentare un alto rischio. Tuttavia, il trattamento di dati genetici in collaborazione con almeno
un altro criterio richiede che venga eseguita una DPIA. In quanto tale, il Consiglio richiede l'italiano
Autorità di vigilanza di modificare di conseguenza il suo elenco, aggiungendo che l'elemento che fa riferimento al
l'elaborazione di dati genetici richiede l'esecuzione di una DPIA solo quando viene effettuata congiuntamente
di almeno un altro criterio, da applicare fatto salvo l'articolo 35, paragrafo 3, del GDPR.
[b]ULTERIORE ELABORAZIONE[/b]
Il consiglio di amministrazione ritiene che l'ulteriore trattamento dei dati personali non dovrebbe costituire un criterio
portando all'obbligo di fare un DPIA, da solo o con un altro criterio. La lista presentata da
l'Autorità di vigilanza italiana per un parere del Consiglio richiede attualmente una DPIA a
essere effettuato per l'ulteriore trattamento dei dati personali. Il Consiglio richiede l'italiano
L'Autorità di vigilanza modificherà di conseguenza il proprio elenco rimuovendo questo criterio.
[b]MONITORAGGIO DEI DIPENDENTI[/b]
Il Consiglio è del parere che, a causa della sua natura specifica, il monitoraggio dei dipendenti
elaborazione, soddisfacendo il criterio degli interessati vulnerabili e del monitoraggio sistematico in
le linee guida, - potrebbero richiedere una DPIA. Dato che la lista presentata dal Supervisory italiano
L'autorità per un parere del Consiglio prevede già che questo tipo di trattamento richieda un
valutazione dell'impatto sulla protezione dei dati, il consiglio di amministrazione raccomanda unicamente di rendere esplicito il
riferimento ai due criteri nelle linee guida WP29 Linee guida WP248. Inoltre, il consiglio di amministrazione
è del parere che il WP249 del gruppo di lavoro articolo 29 resti valido al momento della definizione
il concetto dell'elaborazione sistematica dei dati dei dipendenti.
[b]RIFERIMENTO A UNA BASE GIURIDICA SPECIFICA[/b]
Il consiglio di amministrazione ritiene che l'uso di una base giuridica specifica non dovrebbe essere un criterio
portando all'obbligo di fare un DPIA, da solo o con un altro criterio. Dato che la lista
presentato dall'Autorità di vigilanza italiana per un parere del Consiglio prevede questo tipo
di elaborazione in quanto richiede una valutazione dell'impatto sulla protezione dei dati, il Consiglio richiede l'italiano
Autorità di vigilanza di modificare di conseguenza il suo elenco, rimuovendo il riferimento a qualsiasi specifico
base giuridica dalla sua lista.
[b]LAVORAZIONE UTILIZZANDO NUOVE TECNOLOGIE INNOVATIVE[/b]
La lista presentata dall'Autorità di vigilanza italiana per un parere del Consiglio prevede
che l'uso di tecnologie nuove o innovative, da solo, richiede una DPIA. Il consiglio è del
opinione che l'uso di tecnologie innovative da solo non sia necessariamente in grado di rappresentare
un alto rischio. Tuttavia, l'uso di tecnologia innovativa in collaborazione con almeno un altro
il criterio richiede che venga eseguita una DPIA. Pertanto, il Consiglio richiede l'italiano
L'Autorità di vigilanza modificherà di conseguenza il proprio elenco, in primo luogo facendo riferimento alla propria lista innovativa
tecnologia e in secondo luogo aggiungendo che l'articolo richiede che venga eseguita una DPIA solo quando
è fatto in congiunzione di almeno un altro criterio. 3. Conclusioni / raccomandazioni
La bozza di lista dell'Autorità di vigilanza italiana può comportare un'applicazione incoerente di
il requisito per una DPIA e[color=red][b] le seguenti modifiche devono essere apportate: [/b][/color]
[b]- Per quanto riguarda la natura indicativa dell'elenco: il Comitato richiede una spiegazione da
aggiunto al documento contenente l'elenco, indicando la sua natura non esaustiva.
- Per quanto riguarda il riferimento alle linee guida: il Consiglio richiede la vigilanza italiana
Autorità di modificare il proprio documento di conseguenza.
- Per quanto riguarda i dati biometrici: il Consiglio chiede all'Autorità di Vigilanza Italiana di
modificare la propria lista aggiungendo che la voce che fa riferimento al trattamento dei dati biometrici per
lo scopo di identificare in modo univoco una persona fisica richiede l'esecuzione di una DPIA
solo quando è fatto in congiunzione di almeno un altro criterio
- Per quanto riguarda i dati genetici: il Consiglio invita l'Autorità di vigilanza italiana a modificare
la sua lista aggiungendo che l'elemento che fa riferimento al trattamento dei dati genetici richiede un
La DPIA deve essere eseguita solo quando è fatta in collaborazione con almeno un'altra
criterio.
- Per quanto riguarda l'ulteriore trattamento: il Consiglio chiede all'Autorità di Vigilanza Italiana di
modificare di conseguenza il suo elenco, sopprimendo questo criterio.
- Per quanto riguarda il monitoraggio dell'occupazione: il Consiglio raccomanda unicamente di rendere esplicito il
riferimento ai due criteri nelle linee guida WP29 Linee guida WP248.
- Per quanto riguarda il riferimento a una specifica base giuridica: il Consiglio richiede l'italiano
Autorità di vigilanza per modificare il suo elenco rimuovendo il riferimento a qualsiasi specifico legale
base dal suo elenco.
- Per quanto riguarda il trattamento utilizzando una tecnologia nuova o innovativa: il Consiglio richiede il
Autorità di vigilanza italiana per modificare la sua lista in primo luogo facendo riferimento nella loro lista a
tecnologia innovativa e, in secondo luogo, aggiungendo che l'articolo richiede una DPIA
effettuato solo quando è fatto in congiunzione di almeno un altro criterio.[/b]
[color=red][b]4. Osservazioni finali[/b][/color]
Il presente parere è indirizzato al Garante per la protezione dei dati personali (italiano
Autorità di vigilanza) e saranno rese pubbliche ai sensi dell'articolo 64 (5b) del GDPR.
Ai sensi dell'articolo 64, paragrafi 7 e 8, del GDPR, l'autorità di controllo comunica al
Presidenza per via elettronica entro due settimane dal ricevimento del parere, se modificherà
o mantenere la sua bozza di lista. Entro lo stesso termine, fornisce la bozza di lista modificata o
se non intende seguire il parere del Consiglio, deve fornire il relativo
motivi per i quali non intende seguire questo parere, in tutto o in parte.
Per il comitato europeo per la protezione dei dati
La sedia
(Andrea Jelinek)
[size=18pt][b]A questo link le opinioni sulle lise degli altri "Garanti"
https://edpb.europa.eu/our-work-tools/our-documents/publication-type/opinion-board-art-64_en[/b][/size]