Trattamenti valutativi o di scoring su larga scala, trattamenti automatizzati che possono servire per assumere decisioni che producono effetti giuridici o incidono in modo significativo sulla persona, trattamenti sistematici di dati biometrici e di dati genetici, trattamenti effettuati con l’uso di tecnologie innovative come IoT, intelligenza artificiale, monitoraggi effettuati da dispositivi indossabili. Sono questi alcuni dei principali casi in cui le aziende e la PA dovranno sottoporre il trattamento dei dati a una valutazione d’impatto, come stabilito dal Gdpr (General data protection regulation), secondo il Garante per la Privacy. La valutazione di impatto, in generale, è obbligatoria quando il trattamento dei dati – per l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto o le finalità – può presentare un rischio elevato per i diritti e le libertà delle persone. Per specificare in modo il più possibile dettagliato le casistiche e aiutare pubblica amministrazione e aziende a interpretare in modo corretto le norme Ue il Garante della Privacy ha appena pubblicato l’elenco delle tipologie di trattamento che rientrano in questo ambito, recependo le osservazioni del Comitato europeo per la protezione dei dati.
Ora l’elenco predisposto dall’authority è in corso di pubblicazione sulla Gazzetta ufficiale: non si tratta di una lista esaustiva, ma di “uno strumento volto ad assicurare un’applicazione coerente ed uniforme del Regolamento generale sulla protezione dei dati in tutta l’Unione Europea”, spiega il garante in una nota.
Al di là di tutti i casi specifici dettagliati dal arante con l’elenco appena reso pubblico, Pa e aziende hanno l’obbligo di adottare una valutazione di impatto sulla protezione dei dati “anche quando ricorrano due o più criteri individuati dal Gruppo di lavoro articolo 29 nelle Linee guida in materia di valutazione di impatto nel 2017 (WP 248, rev. 01) e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018, oppure quando un titolare ritenga che un trattamento che soddisfa anche solo uno dei criteri richieda una valutazione di impatto – spiega l’Authority – Tra i criteri individuati nelle Linee guida figurano, ad esempio, la valutazione (comprensiva di profilazione) sul rendimento professionale, la salute, le preferenze personali; il monitoraggio sistematico delle persone; il trattamento che impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto”.