Valutazione d’impatto? Il Garante pubblica l’elenco dei trattamenti per cui è obbligatoria

Il Garante per la Privacy ha pubblicato, con provvedimento dell’11 novembre 2018, l’Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679.

Ricordiamo che a quelli individuati dall’atteso elenco, devono essere aggiunti i trattamenti che presentano due o più dei criteri individuati dal Gruppo di Lavoro Articolo 29 per la Protezione dei Dati con linee guida del 4 aprile 2017, come modificate e adottate da ultimo il 4 ottobre 2017  e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018 (di seguito “WP 248, rev. 01”), utili all’identificazione dei trattamenti che possono presentare un “rischio elevato”.

Tali criteri sono:

1) valutazione o assegnazione di un punteggio, inclusiva di profilazione e previsione, in particolare in considerazione di “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato”;

2) processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente sulle persone;

3) monitoraggio sistematico degli interessati;

4) dati sensibili o dati aventi carattere altamente personale;

5) trattamento di dati su larga scala;

6) creazione di corrispondenze o combinazione di insiemi di dati;

7) dati relativi a interessati vulnerabili;

8) uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative;

9) quando il trattamento in sé “impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto“).