Il Garante Privacy con avviso pubblicato nella Newsletter n. 446 del 15 novembre 2018, ha emesso un elenco delle tipologie di trattamenti soggetti al requisito di valutazione d'impatto sulla protezione dei dati, per come prescritto dal GDPR. Grazie a questo elenco, i soggetti pubblici e privati che effettuano trattamenti di dati volti ad offrire beni e servizi anche a persone residenti in altri Paesi dell’Unione europea potranno avere uno strumento in più per applicare correttamente il nuovo Regolamento Europeo sulla protezione dei dati (Regolamento n. 2016/679).

L’elenco è in corso di pubblicazione nella Gazzetta ufficiale e lo stesso – si legge nella Newsletter - non è esaustivo ed è stato adottato applicando lo strumento del “meccanismo di coerenza”, volto ad assicurare un’applicazione coerente ed uniforme del GDPR in tutta l’Ue.

Tra le tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto, l’elenco ricomprende:

• trattamenti valutativi o di scoring su larga scala;
• trattamenti automatizzati volti ad assumere decisioni che producono effetti giuridici o incidono in modo significativo sulla persona;
• trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati;
• trattamenti su larga scala di dati aventi carattere estremamente personale;
• trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione);
• trattamenti non occasionali di dati relativi a soggetti vulnerabili;
• trattamenti effettuati attraverso l’uso di tecnologie innovative;
• trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche;
• trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni;
• trattamenti di categorie particolari di dati oppure di dati relativi a condanne penali e a reati;
• trattamenti sistematici di dati biometrici;
• trattamenti sistematici di dati genetici.

Che cos’è la Valutazione di Impatto?

 Quindi particolare interesse ha il provvedimento per tutte le imprese che usufruiscono di sistemi di videosorveglianza sui luoghi di lavoro (preventivamente autorizzata dall’Ispettorato del Lavoro territoriale o con specifico accordo sindacale) e per quelle imprese che trattano Dati particolari relativi di dipendenti, clienti, pazienti etc., come definiti all’Art.9 del GDPR “dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona”.

Hai adeguato la tua attività al nuovo Regolamento GDPR 679/2016, efficace dal 25 Maggio 2018 ?

LE EVENTUALI SANZIONI ARRIVANO FINO AL 4% DEL FATTURATO ANNUO PRECEDENTE O FINO A 20 MLN DI EURO