Valutazione di impatto GDPR (DPIA): chi ne è soggetto?
Da pochi giorni è stato pubblicato sulla Gazzetta Ufficiale Serie Generale n. 269 del 19 novembre 2018 e sul sito internet del nostro Garante per la protezione dei dati personali l’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati, di cui all’art. 35 del Regolamento (UE) n. 679/2016 (GDPR).
Che cosa è la valutazione d’impatto?
La valutazione d’impatto (Data Protection Impact Assessment, abbreviata anche in “DPIA”) è uno dei nuovi adempimenti previsti dal GDPR che prevede l’applicazione da parte del Titolare quando un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche allorché preveda, in particolare, l’uso di nuove tecnologie.
Da una prima lettura dell’elenco che cosa emerge di significativo?
Che tutti coloro che nell’ambito del rapporto di lavoro trattano dati personali mediante sistemi di videosorveglianza e di geolocalizzazione (dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti) dovranno attivarsi per eseguire una DPIA, quindi una buona parte di aziende ne sarà coinvolta.
Per chi non avesse capito esattamente di cosa si tratta e chi ne è soggetto, forse risulterà più chiaro leggere direttamente l’elenco delle tipologie di trattamenti da sottoporre a valutazione d’impatto, di cui all’allegato 1 al provvedimento n. 467 dell’11 ottobre 2018 [doc. web n. 9058979], di cui proponiamo un estratto.
- Trattamenti valutativi o di scoring su larga scala, nonché trattamenti che comportano la profilazione degli interessati nonché lo svolgimento di attività predittive effettuate anche on-line o attraverso app, relativi ad “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato”.
- Trattamenti automatizzati finalizzati ad assumere decisioni che producono “effetti giuridici” oppure che incidono “in modo analogo significativamente” sull’interessato, comprese le decisioni che impediscono di esercitare un diritto o di avvalersi di un bene o di un servizio o di continuare ad esser parte di un contratto in essere (ad es. screening dei clienti di una banca attraverso l’utilizzo di dati registrati in una centrale rischi).
- Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti, effettuati anche on-line o attraverso app, nonché il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione inclusi servizi web, tv interattiva, ecc. rispetto alle abitudini d’uso e ai dati di visione per periodi prolungati. Rientrano in tale previsione anche i trattamenti di metadati ad es. in ambito telecomunicazioni, banche, ecc. effettuati non soltanto per profilazione, ma più in generale per ragioni organizzative, di previsioni di budget, di upgrade tecnologico, miglioramento reti, offerta di servizi antifrode, antispam, sicurezza etc.
- Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti (si veda quanto stabilito dal WP 248, rev. 01, in relazione ai criteri nn. 3, 7 e 8).
(seguono altri 8 tipologie di trattamenti)
Sicuramente l’elencazione delle tipologie di trattamenti ricomprese dall’obbligo appare di grande utilità per tutti gli operatori e sarà certamente di utilità per chi deve orientarsi in questo periodo di prima applicazione della normativa