Valutazione di impatto privacy: i dodici casi in cui, per il Garante, deve essere effettuata

Il Garante privacy ha stilato un elenco di 12 tipologie di trattamento dei dati - che  vi riportiamo a seguire - in costanza del quale il titolare dovrà obbligatoriamente esercitare la valutazione di impatto, secondo quanto prescritto dall’articolo 35 del GDPR, in concerto, se designato, con il Dpo.

Tra questi, quelli che più possono interessare un’amplia platea di imprenditori sono: i trattamenti di dati personali

che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti, effettuati anche on-line o attraverso app, profilazione (punto n.3); effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti (punto n. 5); effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (es. IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuali) (punto n.7).

L’elenco è stato pubblicato con il Provvedimento dell’11 ottobre 2018, visionabile a questo link.

Si attende e ci si auspica che il Garante fornisca ulteriori precisazioni ed eventuali casi pratici per comprendere meglio quando, effettivamente, sorge il dovere di compiere una valutazione di impatto.