Valutazione di impatto GDPR (DPIA): chi ne è soggetto?

Da pochi giorni è stato pubblicato sulla Gazzetta Ufficiale Serie Generale n. 269 del 19 novembre 2018 e sul sito internet del nostro Garante per la protezione dei dati personali l’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati, di cui all’art. 35 del Regolamento (UE) n. 679/2016 (GDPR).

Che cosa è la valutazione d’impatto?

La valutazione d’impatto (Data Protection Impact Assessment, abbreviata anche in “DPIA”) è uno dei nuovi adempimenti previsti dal GDPR che prevede l’applicazione da parte del Titolare quando un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche allorché preveda, in particolare, l’uso di nuove tecnologie.

Da una prima lettura dell’elenco che cosa emerge di significativo?

Che tutti coloro che nell’ambito del rapporto di lavoro trattano dati personali mediante sistemi di videosorveglianza e di geolocalizzazione (dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti) dovranno attivarsi per eseguire una DPIA, quindi una buona parte di aziende ne sarà coinvolta.

Per chi non avesse capito esattamente di cosa si tratta e chi ne è soggetto, forse risulterà più chiaro leggere direttamente l’elenco delle tipologie di trattamenti da sottoporre a valutazione d’impatto, di cui all’allegato 1 al provvedimento n. 467 dell’11 ottobre 2018 [doc. web n. 9058979], di cui proponiamo un estratto.

  1. Trattamenti valutativi o di scoring su larga scala, nonché trattamenti che comportano la profilazione degli interessati nonché lo svolgimento di attività predittive effettuate anche on-line o attraverso app, relativi ad “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato”.
  2. Trattamenti automatizzati finalizzati ad assumere decisioni che producono “effetti giuridici” oppure che incidono “in modo analogo significativamente” sull’interessato, comprese le decisioni che impediscono di esercitare un diritto o di avvalersi di un bene o di un servizio o di continuare ad esser parte di un contratto in essere (ad es. screening dei clienti di una banca attraverso l’utilizzo di dati registrati in una centrale rischi).
  3. Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti, effettuati anche on-line o attraverso app, nonché il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione inclusi servizi web, tv interattiva, ecc. rispetto alle abitudini d’uso e ai dati di visione per periodi prolungati. Rientrano in tale previsione anche i trattamenti di metadati ad es. in ambito telecomunicazioni, banche, ecc. effettuati non soltanto per profilazione, ma più in generale per ragioni organizzative, di previsioni di budget, di upgrade tecnologico, miglioramento reti, offerta di servizi antifrode, antispam, sicurezza etc.
  4. Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti (si veda quanto stabilito dal WP 248, rev. 01, in relazione ai criteri nn. 3, 7 e 8).

(seguono altri 8 tipologie di trattamenti)

Sicuramente l’elencazione delle tipologie di trattamenti ricomprese dall’obbligo appare di grande utilità per tutti gli operatori e sarà certamente di utilità per chi deve orientarsi in questo periodo di prima applicazione della normativa

Scarica l’elenco completo dei trattamenti soggetti a DPIA

Condividi questo articolo

Articoli correlati

Ambiente e
Sostenibilità

Siamo partner di fiducia nel sostenere, attraverso il servizio di consulenza, la crescita economica delle aziende in maniera sostenibile e rispettosa dell’ambiente.
Ambiente e Sostenibilità

Salute e
Sicurezza sul lavoro

Affianchiamo l’azienda nella gestione della sicurezza e della salute sul luogo di lavoro con etica e responsabilità, competenza ed esperienza.
Salute e sicurezza sul lavoro

Sicurezza Macchine e
Marcatura CE

Operiamo con un servizio brevettato, certificato e completo per verifica dei RESS, della valutazione del rischio e della marcatura CE di macchine, di linee e isole robotizzate
Sicurezza Macchine e Marcatura CE

Reach CLP e
Sicurezza Prodotti

Supportiamo produttori e importatori di miscele e articoli nella corretta individuazione dei requisiti di prodotto e delle normative applicabili, per una immissione sul mercato in sicurezza
Reach CLP e sicurezza prodotti

Sistemi di Gestione
e Modelli 231

Offriamo la nostra consulenza alle organizzazioni che intendono implementare Sistemi di Gestione e Modelli 231 con un approccio di tipo “integrato”
Sistemi di gestione

Privacy e
GDPR

Intendiamo far vivere la normativa Privacy come un valore aggiunto alla qualità aziendale a protezione dei dati personali dei nostri clienti
Privacy GDPR

Cyber e
Information Security

Grazie ai nostri servizi le aziende possono sviluppare e implementare un sistema integrato per gestire cybersecurity, information security e data protection.
Cyber Security

Formazione in aula,
videoconferenza, e-learning

Eroghiamo formazione accreditata e specifica in modalità FAD o in aula. Mettiamo a disposizione di aziende e lavoratori corsi di tipo interaziendali
Formazione

Iscriviti alla nostra newsletter

riceverai una volta al mese una mail con i più significativi aggiornamenti riguardanti le tematiche del nostro lavoro suddivise per categoria: consulenza ambientale, salute e sicurezza sul lavoro, sistema di gestione, modelli organizzativi, consulenza privacy e formazione.

(leggi l'informativa)