Gdpr, valutazione di impatto per i trattamenti transfrontalieri

L’Autorità Garante ha reso noto che sono state individuate le tipologie di operazioni che possono presentare rischi elevati per i diritti e le libertà delle persone.

Pertanto le pubbliche amministrizioni e le aziende italiane, che effettuano trattamenti di dati volti ad offrire beni e servizi anche a persone residenti in altri Paesi dell’Unione Europea, avranno uno strumento in più per adeguarsi al GDPR (Reg. 679/2016).

Il Garante per la privacy ha, infatti,  predisposto un elenco delle tipologie di trattamento che i soggetti pubblici e privati dovranno sottoporre a valutazione di impatto.

Essa è obbligatoria quando il trattamento dei dati, per l’uso di nuove tecnologie, può presentare un rischio elevato per i diritti e le libertà delle persone.

Nell’elenco il Garante ha indicato, tra gli altri, trattamenti valutativi o di scoring su larga scala, trattamenti automatizzati volti ad assumere decisioni che producono effetti giuridici o incidono in modo significativo sulla persona, trattamenti sistematici di dati biometrici e di dati genetici, trattamenti effettuati con l’uso di tecnologie innovative (IoT, intelligenza artificiale, monitoraggi effettuati da dispositivi indossabili).

L’elenco, in corso  di pubblicazione nella Gazzetta Ufficiale, non è esaustivo.

Ricordiamo inoltre che le pubbliche amministrazioni e le aziende hanno l’obbligo di adottare una valutazione di impatto sulla protezione dei dati anche quando ricorrano due o più criteri individuati dal Gruppo di lavoro art.29 nelle Linee guida in materia di valutazione di impatto nel 2017 (WP 248, rev.01), oppure quando un titolare ritenga che un trattamento che soddisfa anche solo uno dei criteri richieda una valutazione di impatto.

Per maggiori chiarimenti vedi l’infografica sulla valutazione di impatto sulla protezione dei dati (DPIA) pubblicata dal Garante Italiano.

Condividi su: