Iscriviti al sito e alla newsletter di Filodiritto.

Welcome kit in omaggio

La pubblicazione di contributi, approfondimenti, articoli e in genere di tutte le opere dottrinarie e di commento (ivi comprese le news) presenti su Filodiritto è stata concessa (e richiesta) dai rispettivi autori, titolari di tutti i diritti morali e patrimoniali ai sensi della legge sul diritto d'autore e sui diritti connessi (Legge 633/1941). La riproduzione ed ogni altra forma di diffusione al pubblico delle predette opere (anche in parte), in difetto di autorizzazione dell'autore, è punita a norma degli articoli 171, 171-bis, 171-ter, 174-bis e 174-ter della menzionata Legge 633/1941. È consentito scaricare, prendere visione, estrarre copia o stampare i documenti pubblicati su Filodiritto nella sezione Dottrina per ragioni esclusivamente personali, a scopo informativo-culturale e non commerciale, esclusa ogni modifica o alterazione. Sono parimenti consentite le citazioni a titolo di cronaca, studio, critica o recensione, purché accompagnate dal nome dell'autore dell'articolo e dall'indicazione della fonte, ad esempio: Luca Martini, La discrezionalità del sanitario nella qualificazione di reato perseguibile d'ufficio ai fini dell'obbligo di referto ex. art 365 cod. pen., in "Filodiritto" (https://www.filodiritto.com), con relativo collegamento ipertestuale. Se l'autore non è altrimenti indicato i diritti sono di Inforomatica S.r.l. e la riproduzione è vietata senza il consenso esplicito della stessa. È sempre gradita la comunicazione del testo, telematico o cartaceo, ove è avvenuta la citazione.

Valutazione d’impatto - Garante per la protezione dei dati personali: gli specifici casi in cui è obbligatorio il Dpia

05 dicembre 2018 -
Valutazione d’impatto - Garante per la protezione dei dati personali: gli specifici casi in cui è obbligatorio il Dpia

Lo scorso 11 ottobre con il provvedimento 467 il Garante per la protezione dei dati personali pubblicava un elenco delle tipologie di trattamenti soggetti al requisito della valutazione di impatto, esercitando la facoltà concessa dall’articolo 35, comma 4 del Regolamento UE sulla protezione dei dati 679/2018 (“GDPR”). L’elenco è composto da dodici tipologie di trattamenti, soggetti al meccanismo di coerenza, per i quali vige l’obbligo di effettuare la valutazione d’impatto. 

La valutazione di impatto, nota anche come data protection impact assessment (“Dpia”) – secondo quanto prescritto dal GDPR – è generalmente obbligatoria per il titolare qualora il trattamento, considerate la natura, l'oggetto, il contesto e le finalità dello stesso, può presentare un rischio elevato per i diritti e le libertà degli interessati. 

 

Il Regolamento e il WP29 

All’articolo 35, il Regolamento indica i criteri con cui valutare la necessità di una valutazione di impatto, ovvero:

1. quando si realizza una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione;

2. quando avviene un trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 (dati sensibili, biomedici, genetici) o di dati relativi a condanne penali e a reati di cui all'articolo 10;

3. qualora sia attuata sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Il Working Party ex articolo 29 si era poi espresso sul tema della valutazione di impatto con le Linee Guida WP 248 rev. 01, indicando nove criteri da tenere in considerazione ai fini dell’identificazione dei trattamenti che possono presentare un “rischio elevato”, in base al quale, qualora ne ricorrano almeno due, sorge la necessità di effettuare la Dpia. 

 

L’elenco del Garante 

Come detto sopra, la casistica fornita dal Garante consta in tutto di 12 casi, che indichiamo a seguire: i trattamenti di dati personali da sottoporre a valutazione di impatto sono quelli

- valutativi o di scoring su larga scala;

- automatizzati finalizzati ad assumere decisioni che producono “effetti giuridici” oppure che incidono “in modo analogo significativamente” sull’interessato, “ad es. screening dei clienti di una banca attraverso l’utilizzo di dati registrati in una centrale rischi”;

- che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti, effettuati anche on-line o attraverso app, profilazione;

- su larga scala di dati aventi carattere estremamente personale, che fa riferimento, fra gli altri, ai dati connessi alla vita familiare o privata o che incidono sull’esercizio di un diritto fondamentale, tra questi i dati di geolocalizzazione che potrebbero limitare il diritto di circolazione;

- effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti;

- non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo);

- effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (es. IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuali;

- che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche;

- effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (es. mobile payment);

- che trattano dati appartenenti alle cd. categorie particolari ai sensi dell’articolo 9 oppure di dati relativi a condanne penali e a reati di cui all’articolo 10 interconnessi con altri dati personali raccolti per finalità diverse;

- che trattano in maniera sistematica dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento;

- che trattano in maniera sistematica dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento. 

Come sottolineato dal Garante nello stesso testo del provvedimento, l’elenco non è da ritenersi esaustivo.

Infatti per PA e aziende vige l’obbligo di eseguire una Dpia anche quando ricorrono due o più criteri individuati nelle Linee guida WP 248 rev.01 del 2017 oppure qualora il titolare ritenga che il trattamento richieda una valutazione di impatto seppur soddisfi anche solo uno dei criteri.

Il Provvedimento del Garante fa sorgere alcune domande. Ci limitiamo ad esporne una: quali sono i dati definibili come “estremamente personali”? Si auspica a breve un intervento del Garante che fornisca ulteriori chiarimenti e precisazioni, in primis sulla definizione di dato avente carattere estremamente personale. 

(Garante per la protezione dei dati personali, Provvedimento dell’11 ottobre 2018, n. 467)



About

  • Contatti
  • Redazione
  • Pubblicità
  • Avvertenze
  • Privacy
  • Cookie

Newsletter

Rimani aggiornato sulle novità e gli articoli più interessanti della redazione di Filodiritto, inserisci la tua mail:

Iscriviti alla newsletter

© Filodiritto 2001-2018

Filodiritto è un marchio di InFOROmatica S.r.l.
P.Iva 02575961202
Capitale sociale: 10.000,00 i.v.
Direttore responsabile: Antonio Zama
Tribunale Bologna 24.07.2007,
n.7770 - ISSN 2239-7752

Sempre aggiornato

Scrivi la tua mail per ricevere le ultime novità, gli articoli e le informazioni su eventi e iniziative selezionati dalla redazione di Filodiritto.

*  Email:

Leggi l'informativa sulla privacy

Sede legale e amministrativa InFOROmatica S.r.l. - Via Castiglione 81, 40124 - Bologna
Tel. 051.98.43.125 - Fax 051.98.43.529

Credits webit.it