10/01/2019 - GARANTE PRIVACY: ELENCO DEI TRATTAMENTI SOGGETTI A DPIA

La valutazione d’impatto privacy (DPIA), disciplinata dall’art 35 GDPR 2016/679, consiste nell’individuare preventivamente il rischio, sui diritti e le libertà che caratterizza un determinato trattamento, considerando la necessità e la proporzionalità rispetto alle finalità dello stesso.

Il GDPR ha previsto che la DPIA debba essere svolta ogni volta in cui il trattamento abbia ad oggetto una valutazione di aspetti relativi a persone fisiche con modalità automatizzate (ad esempio la profilazione), il trattamento su larga scala di categorie particolari di dati personali e la sorveglianza sistematica su larga scala di zone accessibili al pubblico.

Il Garante Privacy, partendo dalle tre casistiche appena indicate, con Provvedimento n. 467/2018, ha individuato un elenco di tipologie di trattamento di dati personali soggette a DPIA, che comprende: i trattamenti valutativi o di scoring su larga scala (es. profilazione online), i processi decisionali automatizzati con effetti giuridici (es. trattamenti che comportano discriminazione degli interessati), il monitoraggio sistematico degli interessati attraverso la raccolta di dati che tengano conto dell’utilizzo di servizi anche telematici, il trattamento su larga scala di dati aventi carattere altamente personale (es. dati finanziari), i trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (es. geolocalizzazione), i trattamenti non occasionali di dati relativi a soggetti vulnerabili (es. minori, disabili), i trattamenti effettuati con l’utilizzo di nuove tecnologie, i trattamenti che comportano lo scambio di dati personali tra diversi titolari effettuati su larga scala e con modalità telematiche, i trattamenti effettuati tramite interconnessione, combinazione o raffronto di informazioni, i trattamenti di particolari categorie di dati e i trattamenti sistematici di dati biometrici (es. riconoscimento facciale o impronta digitale) e di dati genetici.

In tali casi il Titolare del trattamento dovrà eseguire la DPIA, fermo restando che il Garante ha ritenuto detto elenco non esaustivo ma indicativo.

 

Per ulteriori informazioni è possibile contattare lo studio attraverso l'apposito form, nella sezione contatti.

dott.ssa Martina Pasetto