GDPR. Valutazione d'impatto privacy (DPIA). Elenco dei trattamenti
Il Garante Privacy ha pubblicato sul proprio sito internet un Provvedimento contenente l’elenco di alcuni trattamenti di dati personali soggetti a valutazione d’impatto (c.d. DPIA)
Il Garante Privacy ha pubblicato sul proprio sito internet un Provvedimento1 contenente un elenco di 12 tipologie di trattamento che i titolari di dati personali devono sottoporre a valutazione d'impatto (c.d. DPIA)2.
In particolare, l’elenco riguarda i trattamenti soggetti al meccanismo di coerenza (i cosiddetti trattamenti transfrontalieri), vale a dire i trattamenti finalizzati all’offerta di beni e servizi o al monitoraggio di interessati in più Stati UE ed i trattamenti che possono incidere in maniera significativa sulla libera circolazione dei dati personali all’interno dell’UE.
Nell’elenco figurano, per citarne alcuni, trattamenti valutativi su larga scala, trattamenti automatizzati volti ad assumere decisioni che producono effetti giuridici o incidono in modo significativo sulla persona, trattamenti sistematici di dati biometrici e di dati genetici, trattamenti effettuati con l’uso di tecnologie innovative.
L'elenco, precisa il Garante, non è esaustivo; in ogni caso, sono prevalenti i principi generali in materia di DPIA. Pertanto, a prescindere dall'elenco, qualora un trattamento, transfrontaliero o meno, presenti un rischio elevato per i diritti e le libertà delle persone, si effettua una DPIA3 in conformità a quanto previsto nelle Linee Guida del WP29 del 4 ottobre 2017, ratificate dal Comitato europeo per la protezione dei dati il 25 maggio 2018.
Note
1. Provvedimento Garante Privacy 11 ottobre 2018, n. 467 pubblicato in Gazzetta Ufficiale Serie Generale n. 269 del 19 novembre 2018.
2. Art. 35 paragrafo 4 del Regolamento (UE) 679/2016.
3. Le linee guida sulla valutazione di impatto privacy (DPIA) individuano 9 indici presuntivi di elevata rischiosità del trattamento, tra i quali figurano, per citarne alcuni, la valutazione (comprensiva di profilazione) sul rendimento professionale, la salute, le preferenze personali; il monitoraggio sistematico delle persone; l’uso innovativo o l’applicazione di nuove soluzioni tecnologiche od organizzative; il trattamento che impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto. Si è obbligati ad adottare una DPIA anche quando ricorrano 2 o più indici oppure quando un titolare ritenga che un trattamento, che soddisfi anche solo uno degli indici, richieda una valutazione di impatto. Non si procede alla DPIA nel caso in cui, pur ricorrendo 2 indici, il trattamento non presenti rischi elevati. In quest'ultimo caso il titolare è tenuto a giustificarne e documentarne i motivi.
Contatti
Ulteriori informazioni e chiarimenti possono essere richiesti al Settore Fisco e Diritto d'Impresa, tel. 0258370267/308, e-mail fisc@assolombarda.it
Non sei associato e ti servono informazioni?
ContattaciAzioni sul documento