Pubblicato il provvedimento sui trattamenti per i quali è obbligatoria la valutazione d’impatto sulla protezione dei dati

trasparenza
Tempo di lettura: 2 minuti

a cura di Alessandro Bonaccorso
alessandro@bonaccorso.info

Sul sito del Garante italiano è stato pubblicato l’Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto, è un elenco di 12 punti che integra i criteri indicati nel WP248 rev.01.
Questo documento fornisce gli ultimi chiarimenti rispetto alla DPIA, che è un adempimento che necessita di un adeguato periodo di sviluppo. Ci dà inoltre l’opportunità di riflettere sul metodo di lavoro che le Autorità Garanti hanno adottato per i lavori fatti di concerto tra l’Autorità europea e quelle nazionali.
Capire il metodo di lavoro adottato è anche possibile a partire dai “visto”, “considerato”, “ritenuto” e “rilevato” che si trovano nel provvedimento n. 476 dell’11 ottobre 2018 (è il provvedimento il cui allegato è proprio l’elenco dei trattamenti da sottoporre obbligatoriamente a DPIA).
Il 25 maggio, mentre giravano tante informative da intasare le caselle di posta (?!?), veniva istituito in seno al Garante Europeo il BOARD (EDPB), i cui membri sono stati nominati a partire da quelli del Gruppo di lavoro ex Art.29, più noto con la sigla WP29.
Il nuovo assetto del Board conferisce alle sue decisioni valore non più solo consultivo, il suo primo atto è stato quello di darsi una scaletta di attività, che consiste proprio nella revisione della copiosa documentazione già prodotta nel corso degli anni precedenti in qualità di Gruppo di lavoro ex art.29. Considerato anche il maggior valore che ha la documentazione redatta a partire dai provvedimenti del Board, la loro revisione ed integrazione non dovrebbe avere effetti tali da stravolgere i significati e gli obiettivi che furono alla base della loro prima emanazione, infatti il provvedimento adotta il WP248 rev.01 e lo integra con la lista dei trattamenti.
Rileggere con una nuova chiave di lettura la documentazione già presente ed emanata nel tempo dal WP29 è il punto di partenza per valutare per tempo, non solo se dotarsi di una DPIA, ma anche per ogni altra incombenza per la quale è necessario del tempo o esistano dei dubbi in merito alla sua applicazione. Non dimentichiamo che è lo stesso GDPR che ci suggerisce di prendere decisioni conservative laddove esista un dubbio in merito alla scelta di dotarsi o meno di uno degli strumenti previsti dal Regolamento.