Privacy: trattamenti soggetti a valutazione d’impatto

Il Garante Privacy ha messo a punto un elenco delle tipologie di trattamenti soggetti al requisito di valutazione d'impatto sulla protezione dei dati, per come prescritto dal GDPR.

Grazie a questo elenco, i soggetti pubblici e privati che effettuano trattamenti di dati volti ad offrire beni e servizi anche a persone residenti in altri Paesi dell’Unione europea potranno avere uno strumento in più per applicare correttamente il nuovo Regolamento Europeo sulla protezione dei dati (Regolamento n. 2016/679).

Lo rende noto il Garante per la protezione dei dati personali con avviso pubblicato nella Newsletter n. 446 del 15 novembre 2018.

L’elenco, adottato con provvedimento dell’Autority n. 467 dell’11 ottobre 2018, è in corso di pubblicazione nella Gazzetta ufficiale.

Lo stesso – si legge nella Newsletter - non è esaustivo ed è stato adottato applicando lo strumento del “meccanismo di coerenza”, volto ad assicurare un’applicazione coerente ed uniforme del GDPR in tutta l’Ue.

Elenco tipologie sottoposte a valutazione d’impatto

Tra le tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto , l’elenco ricomprende:

• trattamenti valutativi o di scoring su larga scala;
• trattamenti automatizzati volti ad assumere decisioni che producono effetti giuridici o incidono in modo significativo sulla persona;
• trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati;
• trattamenti su larga scala di dati aventi carattere estremamente personale;
• trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione);
• trattamenti non occasionali di dati relativi a soggetti vulnerabili;
• trattamenti effettuati attraverso l’uso di tecnologie innovative;
• trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche;
• trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni;
• trattamenti di categorie particolari di dati oppure di dati relativi a condanne penali e a reati;
• trattamenti sistematici di dati biometrici;
• trattamenti sistematici di dati genetici.

Nella newsletter, viene anche ricordato che, con riferimento ai trattamenti indicati nell’elenco, Pubbliche amministrazioni e aziende private sono tenute ad adottare una valutazione di impatto sulla protezione dei dati:

• anche quando ricorrano due o più criteri individuati nelle Linee guida in materia di valutazione di impatto del Gruppo di Lavoro per la Protezione dei dati del 2017;
• quando un titolare ritenga che un trattamento che soddisfa anche solo uno dei criteri richieda una valutazione di impatto.