Valutazione d’impatto sulla protezione dei dati. Quali tipologie di trattamento la richiedono?
Riportiamo di seguito un estratto dalle “Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679” redatto dal Gruppo di studio WP 248 rev.01 ad ottobre 2017
Una valutazione d’impatto sulla protezione dei dati è un processo inteso a descrivere il trattamento, valutarne la necessità e la proporzionalità, nonché a contribuire a gestire i rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento di dati personali4, valutando detti rischi e determinando le misure per affrontarli. Le valutazioni d’impatto sulla protezione dei dati sono strumenti importanti per la responsabilizzazione in quanto sostengono i titolari del trattamento non soltanto nel rispettare i requisiti del regolamento generale sulla protezione dei dati, ma anche nel dimostrare che sono state adottate misure appropriate per garantire il rispetto del regolamento. In altre parole, una valutazione d’impatto sulla protezione dei dati è un processo inteso a garantire e dimostrare la conformità.
Gli esempi riportati di seguito illustrano come utilizzare i criteri per valutare se una particolare tipologia di trattamento richieda una valutazione d’impatto sulla protezione dei dati o meno.
| Esempi di trattamento | Possibili criteri pertinenti | È probabile che sia richiesta una valutazione d’impatto sulla protezione dei dati? |
|---|---|---|
| Un ospedale che tratta i dati genetici e sanitari dei propri pazienti (sistema informativo ospedaliero). | – Dati sensibili o dati aventi carattere estremamente personale.
– Dati riguardanti soggetti interessati vulnerabili. – Trattamento di dati su larga scala. |
Sì |
| L’uso di un sistema di telecamere per monitorare il comportamento di guida sulle autostrade. Il titolare del trattamento prevede di utilizzare un sistema intelligente di analisi video per individuare le auto e riconoscere automaticamente le targhe. | – Monitoraggio sistematico.
– Uso innovativo o applicazione di soluzioni tecnologiche od organizzative. |
|
| Un’azienda che monitora sistematicamente le attività dei suoi dipendenti, controllando anche la postazione di lavoro dei dipendenti, le loro attività in Internet, ecc. | – Monitoraggio sistematico.
– Dati riguardanti soggetti interessati vulnerabili. |
|
| La raccolta di dati pubblici dei media sociali per la generazione di profili. | – Valutazione o assegnazione di un punteggio.
– Trattamento di dati su larga scala. – Creazione di corrispondenze o combinazione di insiemi di dati. – Dati sensibili o dati aventi carattere estremamente personale. |
|
| Un’istituzione che crea una banca dati antifrode e di gestione del rating del credito a livello nazionale. | – Valutazione o assegnazione di un punteggio.
– Processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente. – Impedisce agli interessati di esercitare un diritto o utilizzare un servizio o un contratto. – Dati sensibili o dati aventi carattere estremamente personale. |
|
| Conservazione per finalità di archiviazione di dati sensibili personali pseudonimizzati relativi a interessi vulnerabili coinvolti in progetti di ricerca o sperimentazioni cliniche. | – Dati sensibili.
– Dati riguardanti soggetti interessati vulnerabili. – Impedisce agli interessati di esercitare un diritto o utilizzare un servizio o un contratto. |
|
| Un trattamento di “dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato” (considerando 91). | – Dati sensibili o dati aventi carattere estremamente personale.
– Dati riguardanti soggetti interessati vulnerabili. |
No |
| Una rivista online che utilizza una lista di distribuzione per inviare una selezione quotidiana generica ai suoi abbonati. | – Trattamento di dati su larga scala. | |
| Un sito web di commercio elettronico che visualizza annunci pubblicitari per parti di auto d’epoca che comporta una limitata profilazione basata sugli articoli visualizzati o acquistati sul proprio sito web. | - Valutazione o assegnazione di un punteggio. |
Nella maggior parte dei casi, un titolare del trattamento può considerare che un trattamento che soddisfi due criteri debba formare oggetto di una valutazione d’impatto sulla protezione dei dati. In generale, il WP29 ritiene che maggiore è il numero di criteri soddisfatti dal trattamento, più è probabile che sia presente un rischio elevato per i diritti e le libertà degli interessati e, di conseguenza, che sia necessario realizzare una valutazione d’impatto sulla protezione dei dati, indipendentemente dalle misure che il titolare del trattamento ha previsto di adottare.
Tuttavia, in alcuni casi, un titolare del trattamento può ritenere che un trattamento che soddisfa soltanto uno di questi criteri richieda una valutazione d’impatto sulla protezione dei dati.