Il Garante Privacy ha definito un elenco di trattamenti soggetti al requisito di valutazione d'impatto (DPIA) sulla protezione dei dati personali, ai sensi dell'art. 35, comma 4, Regolamento UE 2016/679, adottato con provvedimento dell’Autority n. 467 dell’11 ottobre 2018 . Tale elenco è stato reso noto dal Garante Privacy stesso con avviso pubblicato nella Newsletter n. 446 del 15 Novembre 2018 ed è in corso di pubblicazione nella Gazzetta ufficiale.

Che cosa è la DPIA?
La DPIA è uno strumento importante in termini di responsabilizzazione (accountability), in quanto aiuta il titolare non soltanto a rispettare le prescrizioni del GDPR, ma anche ad attestare di aver adottato misure idonee a garantire il rispetto di tali prescrizioni. In altri termini, la DPIA è una procedura che permette di valutare e dimostrare la conformità con le norme in materia di protezione dei dati personali.

Perché si tratta di un elenco non esaustivo?
Il Garante Privacy ha precisato che l'elenco dei trattamenti soggetti a DPIA è elenco esemplificativo e non esaustivo poichè è stato adottato applicando lo strumento del “meccanismo di coerenza”, ed è volto ad assicurare un’applicazione coerente ed uniforme del GDPR in tutta l’Ue.

Quando occorre fare la valutazione d’impatto?
L’obbligo di adozione del DPIA è previsto quando i trattamenti sono relativi a:

1. attività vautative o di scoring su larga scala, nonché attività che comportano la profilazione degli interessati nonché lo svolgimento di attività predittive effettuate anche on-line o attraverso app, relative ad “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti dell'interessato”;
2. attività automatizzate finalizzate ad assumere decisioni che producono “effetti giuridici” oppure che incidono “in modo analogo significativamente” sull’interessato, comprese le decisioni che impediscono di esercitare un diritto o di avvalersi di un bene/servizio o di continuare ad esser parte di un contratto in essere (ad es. screening dei clienti di una banca attraverso l’utilizzo di dati registrati in una centrale rischi);
3. attività che prevedono un utilizzo sistematico dei dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti, effettuate anche on-line o attraverso app, nonché il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione inclusi servizi web, tv interattiva, rispetto alle abitudini d’uso e ai dati di visione per periodi prolungati. Rientrano in tale previsione anche le attività di metadati (ad es. in ambito telecomunicazioni, banche, ecc…) effettuate non soltanto per profilazione, ma più in generale per ragioni organizzative, di previsioni di budget, di upgrade tecnologico, miglioramento reti, offerta di servizi antifrode, antispam, sicurezza;
4. attività su larga scala di dati aventi carattere estremamente personale: si fa riferimento ai dati connessi alla vita familiare o privata (es. i dati relativi alle comunicazioni elettroniche dei quali occorre tutelare la riservatezza), o che incidono sull’esercizio di un diritto fondamentale (es. i dati sull’ubicazione, la cui raccolta mette in gioco la libertà di circolazione) oppure la cui violazione comporta un grave impatto sulla vita quotidiana dell’interessato (es. i dati finanziari che potrebbero essere utilizzati per commettere frodi in materia di pagamenti);
5. attività effettuate nell’ambito del rapporto di lavoro mediante sistemi tecnologici (es. videosorveglianza e georeferenziazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività degli incaricati;
6. attività non occasionali di dati relativi a soggetti vulnerabili (es. minori, disabili, anziani, pazienti, ecc…);
7. attività effettuate attraverso l’uso di tecnologie innovative (es. sistemi di intelligenza artificiale, utilizzo di assistenti vocali on-line con scanning vocale e testuale, monitoraggi effettuati da dispositivi wearable e wi-fi tracking);
8. attività che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche;
9. attività effettuate con interconnessione, combinazione o raffronto di informazioni, compresi l’incrocio dei dati di consumo di beni digitali con i dati di pagamento (es. mobile payment);
10. attività su categorie particolari di dati (ex art. 9) oppure su dati relativi a condanne penali e a reati (ex art. 10), interconnessi con altri dati personali raccolti per finalità diverse;
11. attività sistematiche su dati biometrici, tenendo conto del volume di essi, della durata, della persistenza, e dell’attività di trattamento;
12. attività sistematiche su dati genetici, tenendo conto del volume di essi, della durata, della persistenza, e dell’attività di trattamento.

Direttamente dal Garante...
Valutazione d´impatto sulla protezione dei dati, in base alle previsioni del Regolamento (UE) 2016/679 >> leggi qui