Con il provvedimento n. 467 del 11.10.2018, il Garante Privacy diffonde un elenco delle tipologie di trattamenti transfrontalieri con elevati rischi per la riservatezza di cittadini residenti in Stati Membri UE da sottoporre a valutazione di impatto secondo le regole del GDPR.
Fin da subito è bene ricordare che l’elenco allegato 1 del provvedimento n. 467 del 11.10.2018 , non ha pretese di esaustività. Va inteso come uno strumento volto a garantire l’uniforme applicazione del GDPR, anche attraverso la ricezione delle osservazioni del Comitato europeo per la protezione dei dati al quale era stato sottoposto dal Garante per il prescritto parere.
I trattamenti considerati ad alto rischio sono in primo quelli che presuppongono l’uso di tecnologie innovative. In ambito gius-lavoristico viene fatto riferimento a dati biometrici per la rilevazione delle presenze ( vedi anche Cass. ordinanza n. 25686 del 15.10.2018 ) oppure ai monitoraggi messi in atto attraverso dispositivi indossabili ). Vengono considerati anche i trattamenti valutativi o di scoring su vasta scala, facendo riferimento anche a trattamenti automatizzati volti ad assumere decisioni che producono effetti nella sfera giuridica delle persone.
Oltre che per i trattamenti indicati nell’elenco, occorre ricordare che Pa e aziende hanno l’obbligo di adottare una valutazione di impatto sulla protezione dei dati anche quando ricorrano due o più criteri individuati dal Gruppo di lavoro articolo 29 nelle Linee guida in materia di valutazione di impatto nel 2017 ( WP 248, rev. 01) e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018, oppure quando un titolare ritenga che un trattamento che soddisfa anche solo uno dei criteri richieda una valutazione di impatto. Tra i criteri individuati nelle Linee guida figurano, ad esempio, la valutazione (comprensiva di profilazione) sul rendimento professionale, la salute, le preferenze personali; il monitoraggio sistematico delle persone; il trattamento che impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto.
La valutazione di impatto è obbligatoria quando il trattamento dei dati - per l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto o le finalità - può presentare un rischio elevato per i diritti e le libertà delle persone. Nell’elenco il Garante ha indicato, tra gli altri, trattamenti valutativi o di scoring su larga scala, trattamenti automatizzati volti ad assumere decisioni che producono effetti giuridici o incidono in modo significativo sulla persona, trattamenti sistematici di dati biometrici e di dati genetici, trattamenti effettuati con l’uso di tecnologie innovative (IoT, intelligenza artificiale, monitoraggi effettuati da dispositivi indossabili). L’elenco, in corso di pubblicazione nella Gazzetta ufficiale, non è esaustivo ed è stato adottato applicando il “meccanismo di coerenza”, uno strumento volto ad assicurare un’applicazione coerente ed uniforme del Regolamento generale sulla protezione dei dati in tutta l’Unione Europea.
Fonte: Garante delle Privacy