VALUTAZIONE IMPATTO PRIVACY: QUANDO È OBBLIGATORIA

Il Garante per la protezione dei dati personali ha reso disponibile sul proprio sito istituzionale, poi pubblicato sulla Gazzetta Ufficiale n. 269 del 19-11-2018, l'elenco delle tipologie di trattamenti soggetti alla valutazione d'impatto

sulla protezione dei dati (Data Protection Impact Assesment-DPIA)

Il GDPR non richiede sempre una DPIA per ogni trattamento effettuato dal titolare, ma solo nel caso in cui il trattamento sia suscettibile di causare un rischio elevato per i diritti e le libertà delle persone fisiche, ovvero quando il titolare del trattamento utilizzi o effettui una delle seguenti operazioni per l'esercizio della propria attività.

La DPIA è una procedura che mira a descrivere un trattamento di dati per valutarne la necessità e la proporzionalità nonché i relativi rischi, allo scopo di approntare misure idonee ad affrontarli. La valutazione d'impatto va effettuata prima di iniziare il trattamento e consente di mettere in pratica la protezione dei dati anche nella fase di progettazione (data protection by design).

Nella delibera dell'11 ottobre scorso, che recepisce le osservazioni del Comitato europeo per la protezione dei dati, l'Autorità ha stabilito che sono soggette alla DPIA le seguenti tipologie di trattamenti:

• valutativi o di scoring su larga scala, nonche' trattamenti che comportano la profilazione degli interessati nonche' lo svolgimento di attivita' predittive effettuate anche on-line o attraverso app, relativi ad «aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti dell'interessato»
• automatizzati finalizzati ad assumere decisioni che producono «effetti giuridici» oppure che incidono «in modo analogo significativamente» sull'interessato
• relativi ad un utilizzo sistematico di dati per l'osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti, effettuati anche on-line o attraverso app, nonche' il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell'informazione inclusi servizi web, tv interattiva, ecc.
• su larga scala di dati aventi carattere estremamente personale (v. WP 248, rev. 01): si fa riferimento, fra gli altri, ai dati connessi alla vita familiare o privata (quali i dati relativi alle comunicazioni elettroniche dei quali occorre tutelare la riservatezza), o che incidono sull'esercizio di un diritto fondamentale.
• effettuati nell'ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilita' di effettuare un controllo a distanza dell'attività dei dipendenti
• non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo)
• effettuati attraverso l'uso di tecnologie innovative, anche con particolari misure di carattere organizzativo
• che comportano lo scambio tra diversi titolari di dati su larga scala con modalita' telematiche.
• di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i i trattamenti che prevedono l'incrocio dei dati di consumo di beni digitali con dati di pagamento (es. mobile payment).
• categorie particolari di dati ai sensi dell'art. 9 oppure di dati relativi a condanne penali e a reati di cui all'art. 10 interconnessi con altri dati personali raccolti per finalità diverse
• di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero   della persistenza, dell' attivita' di trattamento
• di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero   della persistenza, dell' attivita' di trattamento.

Con l’occasione rammentiamo che è attivo il nuovo SERVIZIO PRIVACY in grado di assistere le imprese nell’adeguamento alla nuova normativa in materia riguardante la protezione dei dati anche informatici.