Il Comitato Ue per la Data protection pubblica la sua prima Opinion

MILANO - La scorsa settimana è stata pubblicata da parte dell’European Data Protection Board  - l’“Edbp” o il “Comitato”, ossia l’organo che, dopo l’entrata in vigore del Regolamento n. 679/2016 (Gdpr), ha sostituito il vecchio Gruppo dei Garanti Europei, istituito dall’art. 29 della Direttiva 95/46, abrogata dal Gdpr - l’“Opinion on the draft list of the competent supervisory authority of Italy regarding the processing operations subjects to the requirement of a data protection impact assessment”.

Si tratta del primo vero esercizio dei poteri concessi al Comitato dal Gdpr.  Ai sensi dell’art. 68 e seguenti, l’Edbp è diventato a tutti gli effetti un organo dell’Unione, indipendente e con una lunga lista di compiti e poteri. Si tratta, dunque, della prima Opinion che tiene conto del principio di coerenza e che può portare alla sua applicazione effettiva.

I Regolamenti hanno la funzione di uniformare a livello dei 28 Paesi dell’Unione europea la disciplina applicabile, riducendo al massimo le asimmetrie derivanti invece, in caso di recepimento di Direttive, dalle leggi di implementazione nazionale. In questa circostanza il board agisce in primo luogo da guardiano del Gdpr e interviene ogni volta risulti necessaria una pronuncia che riaffermi la coerenza del sistema.

L’Opinion appena pubblicata in materia di valutazione degli impatti relativi al trattamento dei dati,c.d. Dpia, dimostra come il Comitato intenda fare uso dei poteri che gli sono concessi per perseguire quella finalità di “armonizzazione dei trattamenti transfrontalieri o che possono avere un impatto sullo spostamento dei dati personali all’interno dell’Unione Europea” che, in fondo, ha sotteso tutti i lavori al Gdpr: una maggire facilità di circolazione dei dati unita a un aumento degli standard relativi alla loro protezione.

Tale effettività è stata messa in serio dubbio dalle leggi di armonizzazione nazionali adottate da quasi tutti gli Stati membri, a partire dalla Germania, fino al d.lgs. n. 101/2018 entrato in vigore in Italia il 19 settembre 2018, che come è noto ha modificato, mantenendolo in vita, il vecchio Codice Privacy di cui al d.lgs. n. 196/2003.

Nei mesi passati, 22 autorità di controllo, tra cui il Garante per la protezione dei dati personali, hanno inviato a Bruxelles  – ai sensi dell’art. 35 (4 ) GDPR – l’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati (Dpia). Già sappiamo che si tratta di un  in termini di accountability, da effettuarsi quando il trattamento presenta un rischio elevato per i diritti e le libertà delle persone fisiche.

Per prima cosa, il Comitato sottolinea che non vuole tanto creare “un’unica lista uguale in tutti gli Stati Membri” quanto evitare disallineamenti rilevanti tra di esse. Non si vuole, in altre parole, che all’obbligo di Dpia, ad esempio, in Irlanda per un determinato trattamento corrisponda solo una vaga eventualità in un altro Stato membro. 

In questo senso, l’affermazione per la quale “le autorità di controllo hanno un certo margine di discrezionalità rispetto al contesto nazionale o regionale e dovrebbero tenere in considerazione la loro legislazione locale”, limita la discrezionalità ai soli trattamenti, per l’appunto, “necessariamente locali”, il cui raggio di azione è limitato a dispiegare i suoi effetti solamente in Italia, oppure con riferimento a quei trattamenti che sono strati oggetti di ulteriori prescrizioni ai sensi del d.lgs. n. 101/2018.

Con riferimento all’Italia, il Garante ha proposto una lista di sei ambiti di trattamento tipici che dovrebbero far scattare l’obbligo di Dpia rilevante a livello comunitario. Di questi sei, soltanto uno è stato accettato senza rilevanti modifiche dal Comitato. Questo ha evidenziato sia la linea storicamente ‘garantista’ della nostra autorità di controllo e ha anche segnato un punto a favore del Board che non si è sottratto, in questa occasione, dal ritagliarsi fin dal principio  spazi rilevanti di regolazione comunitaria.

(Testo di Rocco Panetta - Avvocato, Panetta & Associati e IAPP Country Leader per l’Italia - Fonte: corriere comunicazioni).