Le nuove prescrizioni del Garante sul trattamento delle categorie particolari di dati

Il procedimento di consultazione pubblica previsto dall’art. 21 D.lgs. 101/2018.

Lo scorso 5 giugno si è proficuamente conclusa la consultazione pubblica che era stata avviata il 13 dicembre 2018 dal Garante per la protezione dei dati personali. Obiettivo di tale consultazione è stato decidere il da farsi in merito alle “vecchie” prescrizioni – in quanto pre Regolamento (UE) 2016/679 (GDPR) – in tema di trattamento dei dati personali ex sensibili.

Le Autorizzazioni generali del 2016

Tali prescrizioni sono il contenuto delle 9 Autorizzazioni generali che erano state adottate il 15 dicembre 2016 e che individuavano le garanzie e le misure appropriate e specifiche da garantire ogni qual volta si avesse a che fare con trattamenti di dati che oggi, in base al Regolamento europeo, definiremmo appartenenti alle categorie particolari di dati personali e di dati personali relativi a condanne penali e reati (artt. 9 e 10, GDPR).

Che fine faranno le vecchie prescrizioni?

Da adesso in poi queste prescrizioni non saranno più in vigore e, anzi, alcuni delle Autorizzazioni generali in considerazione, a causa della loro compatibilità o meno con la normativa attuale in materia privacy, sono state considerate prive di efficacia.

A tal proposito, infatti, – come anticipato già dal precedente Provvedimento 13 dicembre 2018 – anche nel preambolo del Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del D.lgs. 10 agosto 2018, n.101”, prezioso frutto della citata consultazione pubblica, si conferma che il Garante individua tra le Autorizzazioni generali quelle che risultano compatibili con il Regolamento e con il D.lgs. n. 101/2018 di adeguamento del Codice Privacy, ovvero le nn. 1/2016, 3/2016, 6/2016, 8/206, 9/2016.

Restano dunque prive di efficacia (e di considerazione) le Autorizzazioni generali nn. 2/2016, 4/2016, 5/2016 e la 7/2016 (unica quest’ultima, a trattare specificamente dei dati giudiziari), le quali ex art. 21, comma 2, del D.lgs. 101/2018, cessano di produrre effetti dal momento della pubblicazione del Provvedimento (sopra citato) – attualmente in corso – nella Gazzetta Ufficiale della Repubblica italiana, poiché ritenute incompatibili con le disposizioni del Regolamento (UE) 2016/679.

Quali sono le novità?

Al termine della consultazione pubblica (che come tale ha tenuto conto non solo del lavoro e delle osservazioni dei componenti scelti dall’Autorità garante, ma anche dei più significativi e pertinenti interventi esterni pervenuti in corso d’opera) è stato iscritto nel registro dei Provvedimenti il tanto atteso “Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del D.lgs. 10 agosto 2018, n.101”.

Con questo il Garante ha ripreso in mano la tematica del trattamento dei “dati particolari”, ha armonizzato maggiormente le prescrizioni al testo del GDPR (in particolare in riferimento a quanto viene disposto dagli artt. 6, par. 1, lett. c) ed e), 9, par.2, lett. b) e 4, nonché al Capo IX del GDPR) ed ha adottato nuove prescrizioni in materia suddividendole in 5 casistiche:

1. trattamento di categorie particolari di dati nei rapporti di lavoro – interessante al riguardo la distinzione tra trattamenti effettuati nella fase preliminare all’assunzione e quelli effettuati nel corso del rapporto lavorativo;
2. trattamento di categorie particolari di dati da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose;
3. trattamento di categorie particolari di dati da parte degli investigatori privati;
4. prescrizioni relative al trattamento dei dati genetici – particolarmente corpose e nelle quali risalta la rielaborazione della definizione di dati genetici rispetto a quella presente nell’Autorizzazione n. 8/2016;
5. prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica.

Per ognuna vengono presi in considerazione l’ambito applicativo, gli interessati cui i dati si riferiscono, le finalità del trattamento ma soprattutto vengono determinate delle specifiche prescrizioni che esaminano in modo più dettagliato le possibili modalità di trattamento.

Le novità derivano principalmente dall’introduzione nelle autorizzazioni di principi e istituti del GDPR (a titolo meramente esemplificativo, in più parti sono stati introdotti i riferimenti alla Valutazione d’impatto e alla consultazione preventiva ex artt. 35 e 36 GDPR, così come è stato più volte richiamato il principio di accountability), al generale ampliamento del relativo spettro applicativo che ora ricomprende certamente un numero maggiore di soggetti pubblici e privati, appartenenti a diverse/i categorie/settori, nonché di possibili interessati coinvolti.