Le interpretazioni del Garante in tema di registro e valutazione di impatto

La lettura del mero dato normativo, non accompagnata dalla conoscenza dell’interpretazione dello stesso da parte degli organi a ciò preposti, rischia di generare letture parziali e non corrette. Pertanto è fortemente sconsigliato approcciarsi allo studio del GDPR senza considerare l’interpretazione degli obblighi fornita dal Garante della Privacy, un approccio quindi non distante dallo studio di una qualsiasi materia giuridica, ove la conoscenza della norma deve essere necessariamente coadiuvata dai “famosi orientamenti dottrinali e giurisprudenziali”.

Per questi motivi è opportuno che le due grandi novità, costituite dal registro dei trattamenti (ex art. 30) e dalla valutazione di impatto (art. 35), vengano rispettivamente lette alla luce delle Faq di ottobre 2018 e del provvedimento n. 467/18 del Garante della Privacy.

Con riferimento all’obbligo inerente i registri del trattamento, la comprensione della norma non può prescindere dalla lettura in chiave sistematica delle disposizioni del primo, secondo e quinto comma. In particolare, quest’ultimo pone inizialmente una esclusione dall’obbligo di stampo quantitativo (250 dipendenti) prevedendo successivamente una ulteriore contro-eccezione riferita alla tipologia dei dati trattati. Nei fatti, se nel trattamento entro in contatto con gli “ex dati sensibili”, che oggi vengono chiamati “particolari”, allora sarò tenuto a predisporre il registro in veste di titolare o responsabile. Sul punto è intervenuto il chiarimento del Garante, il quale ha giustamente sottolineato che tale obbligo sussiste per i “liberi professionisti con almeno un dipendente e/o che trattino dati “particolari” ex art. 9 GDPR e/o dati relativi a condanne penali o reati ai sensi dell’art. 10 GDPR. (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale)”.

Invece con riferimento alla valutazione di impatto (cd. DPIA) non può che venire in rilievo il provvedimento n. 467/18 del Garante della Privacy.

A differenza di quanto è avvenuto per il registro dei trattamenti, la norma di cui all’art. 35 GDPR disciplinante la cd. DPIA non è altrettanto chiara, cioè non circoscrive in maniera netta e definita le ipotesi in cui scatta necessariamente tale obbligo.

Di per sé già il dettato normativo è ambiguo, atteso che l’obbligo scatterebbe solo per il titolare quando vi è una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, oppure un trattamento su larga scala di categorie particolari di dati, oppure vi è la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Ma in concreto cosa significa “larga scala” e quali sono i relativi parametri di riferimento? Al momento non esiste una definizione legislativa o paralegislativa che definisca tale concetto e la speranza non poteva che risiedere in un chiarimento da parte della massima autorità in materia, il Garante della Privacy.

Tuttavia tale speranza è stata presto disattesa. Difatti, e se possibile, il provvedimento 467/18 ha complicato ancora di più la questione, in quanto si disinteressa del concetto di larga scala e stabilisce l’obbligo della valutazione di impatto per tutti i “Trattamenti di categorie particolari di dati ai sensi dell’art. 9 oppure di dati relativi a condanne penali e a reati di cui all’art. 10 interconnessi con altri dati personali raccolti per finalità diverse”. Ma cosa sia e in cosa consista tale interconnessione non è dato sapere.

Pertanto alla domanda “Cosa fare?” non si può che consigliare di effettuare la valutazione di impatto nel momento in cui il trattamento riguardi dati particolari, anche laddove gli stessi non vengano trattati in quantità notevoli; se infatti si volesse applicare la stessa ratio che ha animato il Garante in tema di registro dei trattamenti, allora bisognerebbe concludere che la valutazione di impatto deve essere effettuata anche nel momento in cui abbia un solo dipendente (trattamento per il quale sono titolare e che comporta sicuramente il venire in contatto con dati particolari, come ad esempio i dati sanitari in ipotesi di malattia).

Roberto De Bellis – Centro Studi CGN