Il Gruppo di lavoro ex art. 29, costituito ai sensi del medesimo articolo della direttiva UE 95/46, è un organismo consultivo e indipendente, composto da un rappresentante delle autorità di protezione dei dati personali designate da ciascuno Stato membro, dal GEPD (Garante europeo della protezione dei dati), nonché da un rappresentante della Commissione.
Il presidente è eletto dal Gruppo al suo interno ed ha un mandato di due anni, rinnovabile una volta.
Il Gruppo adotta le sue decisioni a maggioranza semplice dei rappresentanti delle autorità di controllo.
Fra i compiti più rilevanti tra quelli disciplinati dall'art.30 della direttiva:- esaminare le questioni attinenti all'applicazione delle norme nazionali di attuazione della direttiva;
- formulare pareri sul livello di tutela nella Comunità e nei paesi terzi;
- consigliare la Commissione in merito ad ogni progetto di modifica della direttiva, ogni progetto di misure addizionali o specifiche da prendere ai fini della tutela dei diritti e delle libertà, nonché in merito a qualsiasi altro progetto di misure comunitarie che incidano su tali diritti e libertà;
- formulare pareri sui codici di condotta elaborati a livello comunitario;
- formulare di propria iniziativa raccomandazioni su qualsiasi questione riguardi la protezione dei dati personali nella Comunità;
- definire i criteri di adeguatezza per i paesi terzi.
Lo scorso 4 aprile il Gruppo di Lavoro ex art. 29 (WP 29) ha adottato delle linee guida in tema di Data Protection Impact Assesment, volte innanzitutto a definire dei criteri comuni a tutti i titolari, che possano costituire un ausilio nell’individuazione delle operazioni di trattamento che richiedono l’effettuazione di una valutazione d’impatto. Ciò in quanto essa non risulta obbligatoria in tutte le ipotesi, bensì soltanto nel caso in cui un tipo di trattamento possa “presentare un rischio elevato per i diritti e le libertà dell’interessato”, oltre che nelle ipotesi specificamente previste dal co. III dell’art. 35 del Regolamento. Di fondamentale importanza risulta dunque stabilire quando in concreto un trattamento possa considerarsi rischioso e richieda di valutare l’impatto che esso avrebbe sulla protezione dei dati personali, non essendo tale indicazione contenuta all’interno del Regolamento.
Anche gli enti locali saranno coinvolti per predisporre il documento programmatico sulla sicurezza aggiornato alle nuove Linee guida, ma occorrerà che vengono forniti chiarimenti per la sua stesura possibilmente dall'Autorità garante per la sicurezza dei dati personali.
Nessun commento:
Posta un commento