Brexit: le nuove linee guida ICO sul trattamento delle “categorie particolari” di dati personali

0

 

All’approssimarsi del 31 dicembre, scadenza del periodo transitorio che segnerà l’uscita del Regno Unito dall’Unione europea, l’ICO (Information Commissioner’s Office) sta intensificando i propri sforzi per chiarire il quadro normativo applicabile al trattamento dei dati personali nel Regno Unito a partire dal 2021.

Fra le linee guida a tal fine pubblicate nelle ultime settimane, l’ICO ha dedicato un approfondimento particolare al trattamento degli “special category data”, ossia le “categorie particolari” di dati contemplate dall’art. 9 del Regolamento (UE) 2016/679 GDPR. Vediamo in maggior dettaglio le indicazioni fornite dall’ICO al riguardo.

 

Nel segno della continuità con il GDPR

Le linee guida in commento forniscono precisazioni rilevanti sin dalla definizione di “special category data”, per la quale l’ICO continua a richiamare espressamente e diffusamente il GDPR (che formalmente non si applicherà più nel Regno Unito dal prossimo gennaio). Nelle “categorie particolari” di dati rientrano, dunque, i dati idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, i dati genetici [1], i dati biometrici [2]intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute [3], alla vita sessuale o all’orientamento sessuale della persona. L’ICO precisa che la necessità di fornire speciale protezione a tali tipologie di dati deriva non tanto dal carattere “particolarmente riservato” delle relative informazioni, quanto dalla loro incidenza sulle libertà fondamentali, primo fra tutti il diritto a non essere discriminati secondo quanto previsto dall’Equality Act.

Al fine di procedere al trattamento degli “special category data”, l’ICO sottolinea che occorre verificare la presenza di un’adeguata base giuridica ai sensi dell’art. 9 GDPR e del DPA 2018 (ossia la legge applicabile nel Regno Unito in materia di dati personali).

A tal riguardo, l’ICO ribadisce che, in applicazione dell’art. 9 GDPR, gli “special category data” potranno essere trattati qualora ricorra uno dei seguenti presupposti:

(a) il consenso esplicito dell’interessato;

(b) la necessità di tutelare il diritto al lavoro, sicurezza e previdenza sociale secondo quanto stabilito dalla legge;

(c) esigenze di tutela di interessi vitali:

(d) la rispondenza del trattamento all’attività di organismi senza scopo di lucro con finalità politiche, filosofiche, religiose o sindacali;

(e) la pubblicazione dei dati personali da parte dell’interessato;

(f) la necessità di esercitare i diritti in sede giudiziaria;

(g) motivi di interesse pubblico previsti dalla legge;

(h) esigenze di tutela della salute o di protezione sociale stabilite dalla legge;

(i) motivi di salute pubblica previsti dalla legge;

(j) esigenze connesse all’archiviazione dei dati, alla ricerca scientifica o storica, o al trattamento per fini statistici, anche in tal caso previste dalla legge.

L’ICO precisa anche che (almeno ad oggi) il Regno Unito non si è avvalso della facoltà di introdurre ulteriori basi giuridiche, rispetto a quanto previsto dall’art. 9 GDPR, per il trattamento dei dati genetici, biometrici e relativi alla salute.

A conferma del divieto stabilito dall’art. 22(4) GDPR, le “categorie particolari” di dati non potranno essere oggetto di trattamenti integralmente automatizzati (inclusa la profilazione) aventi effetti rilevanti di tipo giuridico o con analoga incidenza, in assenza del consenso esplicito o di esigenze sostanziali di interesse pubblico.

 

Basi giuridiche fondate sulla legge: il rapporto tra GDPR e DPA 2018

 Al fine di poter applicare una delle basi giuridiche previste dall’art. 9 GDPR e fondate espressamente su una “disposizione di legge”, l’ICO chiarisce che i titolari del trattamento dovranno conformarsi ad una delle condizioni aggiuntive previste dalla Schedule 1del DPA 2018.

A tale scopo (come chiarito dall’ICO nella tabella di sintesi di seguito riportata), occorrerà fare riferimento alle 28 condizioni aggiuntive elencate nella Schedule 1, Part 1 e Part 2del DPA 2018 al fine di individuare la base normativa appropriata, ai sensi della legge del Regno Unito, per procedere ai trattamenti relativi:

(a) a lavoro, sicurezza e previdenza sociale, salute e protezione sociale, finalità di archiviazione, ricerca e statistica (vd. condizioni 1-4 della Schedule 1, Part 1 corrispondenti all’art. 9, lett. b-h-i-j GDPR);

(b)  alle ulteriori 23 ragioni di “substantial public interest” previste dal DPA 2018 (vd. condizioni 6-28 della Schedule 1, Part 2) in relazione all’art. 9(2) lett. g GDPR.

ICO – guidelines on special category data: corrispondenza tra GDPR e DPA Schedule 1

Occorrerà, inoltre, fare riferimento alle previsione della Schedule 1(paragrafi 5 e 38-41) per la redazione dell’apposito policy document, contenente le misure di compliance e retention predisposte dal titolare del trattamento a tutela delle “categorie particolari” di dati.

Secondo l’ICO, vi è un’alta probabilità che il trattamento degli “special category data” richieda lo svolgimento del DPIA, secondo le apposite linee guida fornite dalla stessa Autorità. La natura dei dati trattati richiede, inoltre, particolari accorgimenti nell’adempimento degli ulteriori obblighi a carico del titolare, in particolare quanto alla minimizzazione, sicurezza, trasparenza, nomina del DPO e tutela dei diritti degli interessati in relazione ai processi automatizzati.

 

 

 

[1] Per i “dati genetici”, l’ICO richiama direttamente la nozione prevista dall’art. 4(13) GDPR come chiarita dal Considerando n. 34.

[2] Anche per i “dati biometrici”, l’ICO fa espresso riferimento alla nozione prevista dall’art. 4(14) GDPR. Per tale tipologia di dati, l’ICO intende pubblicare linee guida maggiormente dettagliate, tenendo conto della Opinion on the use of live facial recognition technology by law enforcement in public places pubblicata a seguito della sentenza della High Court nel caso R (Bridges) v Chief Constable of South Wales Police & others [2019] EWHC 2341 (Admin).

[3] A tal riguardo, l’ICO riporta la definizione prevista dall’art. 4(15) GDPR.

Share this article!

Share.

About Author

Leave A Reply