DELIBERA 11 ottobre 2018 - Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati, ai sensi dell'articolo 35, comma 4, del regolamento (UE) n. 2016/679. (Delibera n. 467). (18A07359)
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;
Visto il regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati, di seguito «RGPD»);
Visto, in specie, l'art. 35, paragrafo 1, del RGPD, che stabilisce l'obbligo per il titolare di effettuare, prima dell'inizio del trattamento, una valutazione dell'impatto del trattamento medesimo, laddove quest'ultimo possa presentare un rischio elevato per i diritti e le liberta' delle persone fisiche, «allorche' preved[a] in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalita' [...]»;
Visto il paragrafo 3 del medesimo articolo, che individua alcune ipotesi in cui e' richiesta la valutazione d'impatto;
Visto il paragrafo 10 del predetto art. 35, che individua invece le ipotesi in cui tale valutazione non e' richiesta, in particolare «qualora il trattamento effettuato ai sensi dell'art. 6, paragrafo 1, lettere c) o e), trovi nel diritto dell'Unione o nel diritto dello Stato membro cui il titolare del trattamento e' soggetto una base giuridica, tale diritto disciplini il trattamento specifico o l'insieme di trattamenti in questione, e sia gia' stata effettuata una valutazione d'impatto sulla protezione dei dati nell'ambito di una valutazione d'impatto generale nel contesto dell'adozione di tale base giuridica [...], salvo che gli Stati membri ritengano necessario effettuare tale valutazione prima di procedere alle attivita' di trattamento»;
Considerato che l'art. 35, paragrafo 4, rimette alle autorita' di controllo nazionali il compito di redigere e rendere pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto e di comunicarlo al Comitato europeo per la protezione dei dati di cui all'art. 68 del RGPD;
Considerato che il paragrafo 6 del citato art. 35 stabilisce l'applicazione del meccanismo di coerenza di cui all'art. 63 del RGPD, da parte della singola autorita' di controllo competente, qualora l'elenco comprenda...
Per continuare a leggere
RICHIEDI UNA PROVA