Valutazione di impatto per i trattamenti transfrontalieri: tipologie di operazioni rischiose




Le pubbliche amministrazioni e aziende italiane che effettuano trattamenti di dati volti ad offrire beni e servizi anche a persone residenti in altri Paesi dell’Unione avranno, d’ora in poi, uno strumento in più per applicare correttamente il nuovo Regolamento Europeo sulla protezione dei dati.


Il Garante per la privacy, infatti, ha predisposto, come stabilito per le Autorità di controllo nazionali dal Gdpr, un elenco delle tipologie di trattamento che i soggetti pubblici e privati dovranno sottoporre a valutazione di impatto. L’elenco recepisce le osservazioni del Comitato europeo per la protezione dei dati al quale era stato sottoposto dal Garante per il prescritto parere.
Ricordiamo che la DPIA (Data Protection Impact Assessment) consiste in una procedura finalizzata a descrivere il trattamento dei dati, valutarne necessità e proporzionalità e facilitare la gestione dei rischi per i diritti e le libertà delle persone fisiche. La ratio di tale strumento risiede nell’aiuto che si fornisce al titolare circa il rispetto delle prescrizioni del Regolamento europeo e nella dimostrazione dell’adozione di misure idonee in grado di assicurare tale rispetto.
Non è obbligatorio condurre una DPIA per ogni singolo trattamento. Essa è però necessaria quando il trattamento dei dati – per l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto o le finalità – può presentare un rischio elevato per i diritti e le libertà delle persone. Nell’elenco il Garante ha indicato, tra gli altri, trattamenti valutativi o di scoring su larga scala, trattamenti automatizzati volti ad assumere decisioni che producono effetti giuridici o incidono in modo significativo sulla persona, trattamenti sistematici di dati biometrici e di dati genetici, trattamenti effettuati con l’uso di tecnologie innovative (IoT, intelligenza artificiale, monitoraggi effettuati da dispositivi indossabili). L’elenco, in corso di pubblicazione nella Gazzetta ufficiale, non è esaustivo ed è stato adottato applicando il “meccanismo di coerenza”, uno strumento volto ad assicurare un’applicazione coerente ed uniforme del Regolamento generale sulla protezione dei dati in tutta l’Unione Europea.
Oltre che per i trattamenti indicati nell’elenco, occorre ricordare che Pa e aziende hanno l’obbligo di adottare una valutazione di impatto sulla protezione dei dati anche quando ricorrano due o più criteri individuati dal Gruppo di lavoro articolo 29 nelle Linee guida in materia di valutazione di impatto nel 2017 (WP 248, rev. 01) e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018, oppure quando un titolare ritenga che un trattamento che soddisfa anche solo uno dei criteri richieda una valutazione di impatto.





Link all’articolo originale

Iscriviti alla nostra newsletter

Ricevi aggiornamenti utili per la tua attività

Condividi questo articolo

Ti potrebbe anche interessare...

Vuoi approfondire l'argomento ?

scrivici o telefonaci se vuoi maggiori informazioni

Red telephone on wooden table with notepad