La valutazione di impatto, anche denominata DPIA (Data Protection Impact Assessment) o PIA (Privacy Impact Assessment) è un’analisi eseguita dal Titolare del trattamento dei dati.

Il suo obiettivo è stimare e valutare i rischi che incombono sui trattamenti effettuati. In particolare, si riferisce ai rischi per i diritti e le libertà fondamentali degli individui dovuti all’utilizzo di nuove tecnologie.

Valutazione di Impatto: quando è obbligatoria

Secondo il Regolamento, la valutazione di impatto è obbligatoria solamente qualora il trattamento dei dati presenti “un rischio elevato per i diritti e le libertà delle persone fisiche” (art. 35 Reg. Europeo nr. 679/2016). Potrebbe, tuttavia, essere richiesta anche in altre ipotesi (che esamineremo più avanti).

E’ lo stesso art. 35 del GDPR a indicare alcuni casi in cui un trattamento potrebbe presentare “rischi elevati”:

  1. Valutazione sistematica e globale di aspetti relativi a persone fisiche, basata su un trattamento automatizzato (compresa la profilazione) e sulla quale si fondono decisioni che hanno effetti giuridici o incidono in modo analogo su dette persone (es. trattamenti valutativi operati da imprese assicuratrici dai quali dipenda la stipula o meno di contratti e polizze).
  2. Trattamento, su larga scala, di categorie particolari di dati personali (i “vecchi” dati “sensibili” o “super sensibili”), ossia i dati di carattere sanitario o relativi a condanne penali e reati (es. trattamenti e valutazioni operate da ospedali e da autorità giudiziarie);
  3. Trattamento che comporti la sorveglianza sistematica su larga scala di una zona accessibile al pubblico (es. telecamere installate dalle autorità pubbliche per controllare ampie zone aperte al transito oppure molto frequentate).

 

I trattamenti da sottoporre a DPIA secondo il Garante Privacy

Con il provvedimento nr. 467 dell’11 ottobre 2018 il Garante ha emanato un “Elenco delle tipologie di trattamenti da sottoporre a valutazione di impatto”:

  1. Trattamenti valutativi o di scoring su larga scala, nonché trattamenti che comportino la profilazione degli interessati e lo svolgimento di attività online o tramite app, relativi a rendimento professionale, situazione economica, salute, interessi personali, affidabilità, ubicazione o spostamenti dell’interessato.
  2. Trattamenti automatizzati finalizzati ad assumere decisioni che producono effetti giuridici o che incidono in modo analogo sugli interessati, comprese le decisioni che impediscano di esercitare un diritto o di avvalersi di un bene o di un servizio (screening della clientela bancaria tramite i dati delle centrali “rischi”).
  3. Trattamenti che prevedano un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti, anche on-line o attraverso app, nonché il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione, inclusi i servizi web, tv interattiva, ecc., rispetto alle abitudini d’uso e ai dati di visione per periodi prolungati.
  4. Trattamenti su larga scala di dati aventi carattere estremamente personale.
  5. Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e geolocalizzazione).
  6. Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, anziani, infermi di mente, richiedenti asilo).
  7. Trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (IoT, sistemi di intelligenza artificiale, utilizzo di assistenti vocali on-line, monitoraggi effettuati da dispositivi wearable, tracciamenti di prossimità, come il wi-fi tracking).
  8. Trattamenti che comportino lo scambio di dati tra diversi titolari su larga scala con modalità telematiche.
  9. Trattamenti effettuati mediante interconnessione, combinazione o raffronto di informazioni (ad esempio mobile payment).
  10. Trattamenti di categorie particolari di dati (art. 9 e art. 10 GDPR: sanitari e giudiziari) interconnessi con altri dati personali raccolti per finalità diverse.
  11. Trattamenti sistematici di dati biometrici.
  12. Trattamenti sistematici di dati genetici.

 

Avv. Andrea Broglia