Parere9/2018

relativoalprogettodielencodell'autoritàdicontrollocompetentedellaFrancia

riguardante

itrattamentisoggettialrequisitodivalutazioned’impattosullaprotezionedeidati(articolo35,paragrafo4,delregolamentogeneralesullaprotezione

deidati)

Adottatoil25settembre2018

2

Indice

1. Sintesideifatti..................................................................................................................5

2. Valutazione.......................................................................................................................5

2.1 Analisigeneraledelcomitatoinmeritoall'elencotrasmesso...................................5

2.2 Applicazionedelmeccanismodicoerenzaalprogettodielenco..............................6

2.3 Analisidelprogettodielenco....................................................................................6

Naturaindicativadell’elenco............................................................................................7

Riferimentoallelineeguida.............................................................................................7

Datibiometrici..................................................................................................................7

Datigenetici.....................................................................................................................7

Datirelativiall'ubicazione................................................................................................7

Monitoraggiodeidipendenti...........................................................................................8

3. Conclusioni/raccomandazioni........................................................................................8

4. Osservazioniconclusive....................................................................................................9

3

Ilcomitatoeuropeoperlaprotezionedeidati

visto l'articolo 63, l'articolo 64, paragrafo 1, lettera a, paragrafi da 3 a 8, e l’articolo 35,paragrafi1,3,4e6,delregolamento2016/679/UEdelParlamentoeuropeoedelConsiglio,del27aprile2016,relativoallaprotezionedellepersonefisicheconriguardoaltrattamentodei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva95/46/CE(regolamentogeneralesullaprotezionedeidati),

visto l'accordo sullo Spazio economico europeo (SEE), in particolare l'allegato XI e ilprotocollo 37,modificati dalla decisione del comitatomisto SEE n. 154/2018 del 6 luglio2018,

vistol'articolo10el'articolo22delregolamentointernodel25maggio2018,

considerandoquantosegue:

1) La funzione principale del comitato consiste nel garantire l’applicazione coerente delregolamento 2016/679 (in appresso "regolamento generale sulla protezione dei dati") intutto loSpazioeconomicoeuropeo.Aisensidell’articolo64,paragrafo1,del regolamentogenerale sulla protezione dei dati, al comitato è richiesto di emettere un parere oveun’autoritàdicontrollointendaadottareunelencoditrattamentisoggettiairequisitidiunavalutazione d’impatto sulla protezione dei dati in base all’articolo 35, paragrafo 4, delregolamento generale sulla protezione dei dati. Lo scopo del presente parere è pertantocreareunapproccioarmonizzatoriguardoaltrattamentoditipotransfrontalieroovverochepossa incidere sulla libera circolazione di dati o persone fisiche all’interno dell’Unioneeuropea.Sebbeneilregolamentogeneralesullaprotezionedeidatinonimpongaunelencounico, esso incoraggia la coerenza. Nei propri pareri il comitatomira a promuovere taleobiettivochiedendoalleautoritàdicontrollodi inserirealcunetipologieditrattamentineiloro elenchi, di rimuovere taluni criteri che il comitato non ritiene rappresentinonecessariamente un rischio elevato per gli interessati e di applicare determinati criteri inmodoarmonizzato.

2)Conriferimentoall’articolo35,paragrafi4e6,delregolamentogeneralesullaprotezionedeidati,leautoritàdicontrollocompetentisonotenutearedigereelenchidelletipologieditrattamentisoggettial requisitodiunavalutazionedi impattosullaprotezionedeidati.Leautoritàdicontrollocompetentidevonotuttaviaapplicareilmeccanismodicoerenzasetalielenchi comprendono attività di trattamento finalizzate all’offerta di beni o servizi ainteressati o al monitoraggio del loro comportamento in più Stati membri, o attività ditrattamento che possono incidere significativamente sulla libera circolazione dei datipersonaliall’internodell’Unione.

3) Sebbene i progetti di elenco delle autorità di controllo competenti siano soggetti almeccanismo di coerenza, ciò non implica che tali elenchi debbano essere identici. Le

4

autorità di controllo competenti hanno unmargine di discrezionalità rispetto al contestonazionale o regionale e devono tenere conto della legislazione locale. Lo scopo dellavalutazione/delpareredelcomitatononègiungereaunelencounicoperl’UE,bensìevitareincoerenzesignificativechepossanoincideresullaprotezioneequivalentedegliinteressati.

4)Aisensidell’articolo35,paragrafo1,delregolamentogeneralesullaprotezionedeidatilosvolgimento di una valutazione d'impatto sulla protezione dei dati è obbligatorio per iltitolaredeltrattamentosoloquandoiltrattamento“puòpresentareunrischioelevatoperidirittielelibertàdellepersonefisiche”.L’articolo35,paragrafo3,delregolamentogeneralesullaprotezionedeidatiespone icasichepossonopresentareunrischioelevato.L'elencononèesaustivo.IlGruppodilavoro"Articolo29",nellelineeguidainmateriadivalutazionedi impatto1approvate dal comitato2, ha chiarito i criteri per identificare i trattamentisoggettialrequisitodiunavalutazioned'impattosullaprotezionedeidati.Tali lineeguidaspecificano che, nellamaggiorpartedei casi, un titolaredel trattamentopuò considerareche un trattamento che soddisfi due criteri debba formare oggetto di una valutazioned'impattosullaprotezionedeidati,tuttavia, inalcunicasi,untitolaredeltrattamentopuòritenere che un trattamento che soddisfa soltanto uno di questi criteri richieda unavalutazioned'impattosullaprotezionedeidati.

5) Gli elenchi presentati dalle autorità di controllo competenti perseguono lo stessoobiettivo di identificare i trattamenti che possono presentare un rischio elevato e itrattamentichepertantorichiedonounavalutazioned'impattosullaprotezionedeidati.Diconseguenza,dovrebberoessereapplicati icriterielaboratinellelineeguidadelGruppodilavoro "Articolo 29" per valutare se i progetti di elenco delle autorità di controllocompetenti non incidano sull’applicazione coerente del regolamento generale sullaprotezionedeidati.

6)Ventidueautoritàdi controllo competentihannosottoposto i loroprogettidielencoalcomitato.Unavalutazioneglobaleditalielenchièinlineaconl’obiettivodiun’applicazionecoerente del regolamento generale sulla protezione dei dati anche se accresce lacomplessitàdell’analisi.

7) Ilpareredelcomitatoèadottatoai sensidell’articolo64,paragrafo3,del regolamentodel generale sulla protezione dei dati, in collegamento con l’articolo 10, paragrafo 2, delregolamento internodel comitato,entrootto settimanedalprimogiorno lavorativodopoche la presidenza e l’autorità di controllo competente hanno accertato che il fascicolo ècompleto.Sudecisionedellapresidenza,taleperiodopuòessereprorogatodiseisettimanetenutocontodellacomplessitàdellaquestione,

1Gruppodi lavoro "Articolo 29", Linee guida inmateria di valutazioned'impatto sulla protezionedei dati edeterminazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini delregolamento2016/679(WP248rev.01).2Comitato,approvazione1/2018.

5

HAADOTTATOILSEGUENTEPARERE:

1. Sintesi dei fatti LaCommissionNationaledel’InformatiqueetdesLibertés(inappresso"autoritàdicontrollofrancese") ha presentato il proprio progetto di elenco al comitato. La decisione sullacompletezza del fascicolo è stata adottata il 9 luglio 2018. Il termine per l'adozione delparereèstatoprorogatoal25settembre,vista lacomplessitàdellaquestioneconsideratoche nello stesso tempo ventidue autorità di controllo competenti hanno presentato iprogettidielencorendendocosìnecessariaunavalutazioneglobale.

2. Valutazione 2.1 Analisi generale del comitato in merito all'elenco trasmesso

Ognielencotrasmessoalcomitatoèstatointerpretatocomeulteriorespecificadell’articolo35, paragrafo1, che inogni casoprevale.Nessunelencopuò,pertanto, essereesaustivo.Datochel’elencofornitodall’autoritàdicontrollofrancesenonloaffermaesplicitamente,ilcomitatorichiedechetalespiegazionesiaaggiuntaaldocumentocontenentel’elenco.

Conformementeall’articolo35,paragrafo10,delregolamentodelgeneralesullaprotezionedei dati, il comitato è del parere che, qualora sia già stata effettuata una valutazioned'impatto sulla protezionedei dati nell'ambitodi una valutazionedi impatto generalenelcontesto dell’adozione della base giuridica, non si applichi l’obbligo di svolgere unavalutazioned'impattosullaprotezionedeidatiai sensidell’articolo35,paragrafida1a7,del regolamento generale sulla protezione dei dati, salvo che lo Statomembro lo ritenganecessario.

Inoltre,se ilcomitatorichiedeunavalutazioned'impattosullaprotezionedeidatiperunacertacategoriaditrattamentieunamisuraequivalenteègiàprevistadaldirittonazionale,l’autoritàdicontrollofrancesedeveinserireunriferimentoatalemisura.

Il presente parere non prende in esame i trattamenti indicati dall’autorità di controllofrancesechesonostatiritenutiestraneialcampodiapplicazionedell’articolo35,paragrafo6, del regolamento generale sulla protezione dei dati, ossia i trattamenti che non sonofinalizzati né “all'offerta di beni o servizi a interessati” in più Stati membri, né almonitoraggio del comportamento degli interessati in vari Stati membri. Inoltre talitrattamentinonsonosuscettibilidi “incidere significativamente sulla liberacircolazionedidati personali all’interno dell’Unione”. Ciò vale in particolare nel caso di trattamenticorrelati alla legislazione nazionale, soprattutto quando questa prevede l’obbligo di unavalutazione d'impatto sulla protezione dei dati. Inoltre si è ritenuto che qualsiasitrattamento effettuato in ambiti connessi ad attività giudiziarie o di polizia fosse nonpertinente,inquantononricompresonelcampodiapplicazionedelregolamentogeneralesullaprotezionedeidati.

6

Ilcomitatohariscontratochealcuneautoritàdicontrollohannoinseritoneiproprielenchideterminatetipologieditrattamentochesononecessariamenteditipolocale.Datochesoloi trattamenti transfrontalieri e quelli che possono incidere sulla libera circolazione di datipersonaliesugliinteressatisonocopertidall’articolo35,paragrafo6,ilcomitatosiesimedalpronunciarsiriguardoaquestitrattamentilocali.

Ilpareremiraadefinireuninsiemecoerenteditrattamentichesonoricorrentineglielenchipresentatidalleautoritàdicontrollo.

Ciòsignificache,perunnumerolimitatoditipologieditrattamento,chesarannodefiniteinmanieraarmonizzata,tutteleautoritàdicontrollorichiederannounavalutazioned'impattosullaprotezionedeidatieilcomitatoraccomanderàallestessedimodificarediconseguenzairispettivielenchipergarantirnelacoerenza.

Quando il presente parere non si pronuncia su elementi indicati negli elenchi, questosignificacheilcomitatononchiedeall’autoritàdicontrollofrancesediintraprenderealcunaazioneariguardo.

Infine, il comitato ricorda che la trasparenza è essenziale per titolari e i responsabili deltrattamento. Al fine di chiarire gli elementi dell’elenco, il comitato ritiene che inserirenell’elencounriferimentoesplicitoaicriterielencatinellelineeguida,perciascunatipologiadi trattamento, potrebbe contribuire a tale trasparenza. Pertanto il comitato ritiene chepotrebbeessereaggiuntaunaillustrazionedeicriteripresiinconsiderazionedall’autoritàdicontrollofrancesenelredigerel'elenco.

2.2 Applicazione del meccanismo di coerenza al progetto di elenco

Il progetto di elenco dell’autorità di controllo francese comprende trattamenti finalizzatiall’offertadibenioserviziainteressati,almonitoraggiodellorocomportamentoinpiùStatimembrie/oa trattamentichepossono incideresignificativamentesulla liberacircolazionedei dati personali all’interno dell’Unione, principalmente perché i trattamenti indicati nelprogettodielencononsilimitanoainteressatiinquestopaese.

2.3 Analisi del progetto di elenco

Consideratoche:a. l'articolo35,paragrafo1,delregolamentogeneralesullaprotezionedeidatirichiede

una valutazione d'impatto sulla protezione dei dati qualora il trattamento possapresentareunrischioelevatoperidirittielelibertàdellepersonefisiche;e

b. l'articolo 35, paragrafo 3, del regolamento generale sulla protezione dei daticontieneunelencononesaustivodelletipologieditrattamentocherichiedonounavalutazioned'impattosullaprotezionedeidati,

ilcomitatoèdelparereche:

7

NATURAINDICATIVADELL’ELENCODatochel’elencofornitodall'autoritàdicontrollofrancesenonaffermaesplicitamentechetale elenco non è esaustivo, il comitato richiede che tale specificazione sia aggiunta aldocumentocontenentel’elenco.

RIFERIMENTOALLELINEEGUIDAIl comitato è del parere che l’analisi condotta nell’ambito delle linee guida WP248 delGruppodilavoro"Articolo29"costituiscaunelementocentraleperassicurarelacoerenzaintutta l'Unione. Esso pertanto chiede alle autorità di controllo di aggiungere unadichiarazionealdocumentocontenenteilloroelenco,chechiariscachedettoelencosibasasutalilineeguidaenecostituisceun’integrazioneeunaspecificazioneulteriore.

Poichéildocumentodell’autoritàdicontrollofrancesenoncontienealcunadichiarazioneintal senso, il comitato raccomanda all’autorità di controllo francese di modificare ildocumentodiconseguenza.

DATIBIOMETRICIL’elencopresentatodall’autoritàdi controllo franceseprevede che il trattamentodei datibiometricirichiedadiperséunavalutazioned'impattosullaprotezionedeidati.Secondoilcomitato, il trattamento dei dati biometrici di per sé non presenta necessariamente unrischioelevato.Tuttavia,iltrattamentodeidatibiometriciaifinidell'identificazioneunivocadiunapersonafisicaincombinazioneconalmenounaltrocriteriorichiedelosvolgimentodiuna valutazione d'impatto sulla protezione dei dati. Pertanto, il comitato richiedeall'autorità di controllo francese di modificare il proprio elenco di conseguenza,aggiungendoche il trattamentodidatibiometriciai finidell'identificazioneunivocadiunapersonafisicarichiedelosvolgimentodiunavalutazioned'impattosullaprotezionedeidatisoloquando tale trattamentoavviene in combinazioneconalmenounaltrocriterio, fattosalvol'articolo35,paragrafo3,delregolamentogeneralesullaprotezionedeidati.

DATIGENETICIL’elencopresentatodall’autoritàdi controllo franceseprevede che il trattamentodei datigeneticidipersérichiedaunavalutazioned'impattosullaprotezionedeidati.Ilcomitatoèdell’opinionecheiltrattamentodeidatigeneticidipersénonconfigurinecessariamenteunrischio elevato. Tuttavia, il trattamento dei dati genetici in combinazione con almeno unaltrocriteriorichiedelosvolgimentodiunavalutazioned'impattosullaprotezionedeidati.Pertanto, il comitato richiede all'autorità di controllo francese di modificareconseguentemente il proprio elenco, aggiungendo che il trattamento di dati geneticirichiede losvolgimentodiunavalutazioned'impattosullaprotezionedeidatisoloquandotaletrattamentoavvieneincombinazioneconalmenounaltrocriterio,fattosalvol'articolo35,paragrafo3,delregolamentogeneralesullaprotezionedeidati.

DATIRELATIVIALL'UBICAZIONESecondoilcomitato lacoerenzaèunodeiprincipifondamentalidelregolamentogeneralesulla protezione dei dati. Il comitato rileva che la maggioranza degli elenchi presentati

8

contiene un riferimento esplicito al trattamento dei dati relativi all'ubicazione. Poichél’elenco presentato dall’autorità di controllo francese non contiene tale riferimento, ilcomitatoinvitalasuddettaautoritàdicontrolloainserirenell’elencoiltrattamentodeidatirelativiall'ubicazione,incombinazioneconunaltrocriterio.

MONITORAGGIODEIDIPENDENTIIl comitato è dell’avviso che, data la sua natura specifica, il trattamento consistente nelmonitoraggiodeidipendentipossarichiedereunavalutazioned'impattosullaprotezionedeidati in quanto soddisfa il criterio dei soggetti interessati vulnerabili e quello delmonitoraggiosistematicocosì come fissatinelleLinee-guida.Datoche l’elencopresentatodall’autorità di controllo francese già prevede che tale tipo di trattamento richiede unavalutazione d'impatto sulla protezione dei dati, il comitato chiede unicamente di fareespressoriferimentoaiduecriterifissatinellelineeguidaWP248.Inoltre,ilcomitatoritienecheildocumentoWP249mantengalapropriavaliditàaifinidelladefinizionedelconcettoditrattamentosistematicodidatirelativiadipendenti.

3. Conclusioni / raccomandazioni La proposta di elenco dell'autorità di controllo francese può comportare un’applicazionenoncoerentedelrequisitodellavalutazioned'impattosullaprotezionedeidati,pertantosireputanonecessarieleseguentimodifiche:

• In merito alla natura indicativa dell’elenco: il comitato richiede l'aggiunta di unaspiegazione al documento contenente l'elenco, che ne indichi la sua natura nonesaustiva.

• Inmeritoalriferimentoallelineeguida:ilcomitatorichiedeall'autoritàdicontrollofrancesedimodificarel’elencodiconseguenza.

• Inmeritoaidatibiometrici: il comitatorichiedeall'autoritàdicontrollo francesedimodificare l’elenco, specificando che il trattamento di dati biometrici ai finidell'identificazione univoca di una persona fisica richiede lo svolgimento di unavalutazioned'impattosullaprotezionedeidatisoloquandotaletrattamentoavvieneincombinazioneconalmenounaltrocriterio.

• In merito ai dati genetici: il comitato richiede all'autorità di controllo francese dimodificare l’elenco, aggiungendo che il trattamento di dati genetici richiede losvolgimentodiunavalutazioned'impattosullaprotezionedeidatisoloquandotaletrattamentoavvieneincombinazioneconalmenounaltrocriterio.

• Inmeritoai dati relativi all'ubicazione: il comitato incoraggia l'autoritàdi controllofrancese a inserire nell'elenco il trattamento di dati relativi all'ubicazione, incombinazioneconunaltrocriterio.

• In merito al monitoraggio dei dipendenti: il comitato raccomanda unicamente diesplicitareilriferimentoaiduecriterifissatinellelineeguidaWP248.

9

4. Osservazioni conclusive Il presente parere è rivolto alla Commission Nationale de l’Informatique et des Libertés(autorità di controllo francese) e sarà reso pubblico ai sensi dell'articolo 64, paragrafo 5,letterab),delregolamentogeneralesullaprotezionedeidati.

Aisensidell'articolo64,paragrafi7e8,delregolamentogeneralesullaprotezionedeidati,entroduesettimanedalricevimentodelparerel'autoritàdicontrollodevecomunicarepervia elettronica se intende mantenere o modificare il progetto di elenco. Entro lo stessotermine, deve trasmettere il progetto di elenco modificato ovvero, qualora non intendaconformarsi, in tutto o in parte, al parere del comitato deve fornire le pertinentimotivazioni.

Perilcomitatoeuropeoperlaprotezionedeidati

LaPresidente

(AndreaJelinek)