comitato europeo data protection
adv

Il board che ha sostituito il “vecchio” gruppo dei Garanti europei ha pubblicato la sua prima Opinion. Sul controllo a distanza dei lavoratori, il Comitato concorda con l’Autorità italiana: in caso di controllo sistematico e in ragione della vulnerabilità della posizione dell’interessato, il trattamento può essere soggetto a Dpia.

Un nuovo organismo internazionale

Si chiama European Data Protection Board, ed è l’organo che dopo l’entrata in vigore del GDPR ha sostituito il vecchio Gruppo dei Garanti Europei. Lunedì ha pubblicato la sua prima Opinion, sul tema del controllo a distanza dei lavoratori, esprimendo un parere concorde rispetto a quello elaborato in precedenza dall’Autorità italiana: nel caso in cui il controllo avvenga in maniera sistematica e abusando della posizione di vulnerabilità dell’interessato, il trattamento può essere oggetto di un Dpia (la valutazione di impatto sul trattamento dei dati).

L’importanza dell’intervento risiede innanzitutto nel fatto di essere il primo, da parte del nuovo organismo che opera in conseguenza al potere assegnatogli proprio dal GDPR. L’European Data Protection Board ha infatti tra i vari compiti quello di ridurre le asimmetrie nelle applicazioni della legge tra i singoli paesi, ciò vuol dire che il precedente italiano fungerà da modello per i prossimi casi che si presenteranno sulla materia. Con questa Opinion, il Comitato sfrutta perciò a pieno i poteri concessigli dalla legge, seguendo il principio secondo cui all’aumento di facilità di circolazione dei dati debba corrispondere quello degli standard relativi alla loro protezione. A tal proposito, basti pensare che negli scorsi mesi ben ventidue autorità di controllo di tutta Europa hanno inviato a Bruxelles l’elenco delle tipologie di trattamento suscettibili di una valutazione di impatto.

I trattamenti “necessariamente locali”

Il Comitato però si è premurato di specificare che il suo intervento non vuol creare una lista unica di casi “uguale per tutti gli stati membri”, operazione che sarebbe difficile, dispendiosa, e probabilmente iniqua considerando le altre legislazioni nazionali e i contesti in cui queste agiscono. In particolar modo, si tratta di una esigenza che nasce rispetto ai trattamenti giudicati “necessariamente locali”, ovvero quelli il cui raggio d’azione è limitato soltanto al paese in cui il caso si sviluppa e prende corpo.

Nel caso dell’Italia, il Garante ha proposto al Comitato una lista di sei ambiti di trattamento che necessiterebbero del Dpia obbligatorio. Uno di questi è stato accettato senza modifiche in sede europee, mentre su altri il Board ha ritenuto opportuno aggiungere delle specifiche. Prendiamo il caso del controllo sistematico a distanza dei lavoratori, su cui è stato sentenziata la possibilità di Dpia, ma “con l’obbligo di esplicitare i due criteri previsti nel Provvedimento del Gruppo di lavoro WP248, che continuerà a rimanere valido e a trovare applicazione”. È stata bocciata invece l’obbligatorietà di valutazione di impatto nei casi di “trattamenti ulteriori di dati personali” e “in riferimento a una specifica base giuridiche”.

Valutazione d’impatto obbligatoria

Gli altri trattamenti proposti dal Garante ricevono invece delle precisazioni interessanti da parte del comitato. Per esempio, per quanto riguarda i dati biometrici, genetici e i trattamenti connessi all’uso di nuove tecnologie, l’organismo europeo afferma che la sola natura del dato oppure le caratteristiche intrinseche del trattamento, non costituiscono un elemento sufficiente per sancire un Dpia obbligatorio. Dovrà, piuttosto, essere questo elemento accompagnato da un altro previsto in articolo 35 del Gdpr: la sorveglianza sistematica su larga scala, il trattamento automatizzato, o le categorie particolari dei dati personali trattati.

La palla a questo punto passa al Garante, che dovrà comunicare l’accettazione o meno delle proposte fatte dal Comitato, avendone facoltà ai sensi dell’articolo 64, che però consiglia alle Autorità nazionali di tenere in massima considerazione le Opinion del Board europeo. In caso di disaccordo, si procederebbe con l’attivazione del cosiddetto “meccanismo di coerenza”, la procedura ad hoc per risolvere le controversie tra i singoli paesi e l’organismo competente a livello continentale.