Il Data Protection Impact Assessment per il GDPR, o DPIA può essere un documento da redigere in forma obbligatoria. Ma quali sono i casi in cui la sua assenza può provocare sanzioni importanti?

Il Garante della Privacy ha specificato le situazioni più comuni con provvedimento n° 467 dell’11 Ottobre 2018. Infatti le singole autorità nazionali hanno la libertà di integrare il regolamento con casistiche concrete ancorchè non esaustive.

Le casistiche individuate dal Garante della Privacy italiano identificano 12 tipologie di trattamento da sottoporre a valutazione di impatto. Queste configurano evidentemente un elevato rischio per le persone i cui dati personali sono oggetto di trattamento:

  • Trattamenti valutativi o di scoring su larga scala, profilazione e attività predittive anche online o attraverso app;
  • Decisioni automatizzate che producono effetti giuridici (come lo screening dei clienti di una banca per il tramite di dati di una centrale rischi);
  • Osservazione, monitoraggio o controllo degli interessati, trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione (compresi i trattamenti di metadati);
  • Trattamenti su larga scala di dati aventi carattere estremamente personale;
  • Trattamenti nel rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione);
  • Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo);
  • Trattamenti effettuati attraverso l’uso di tecnologie innovative (IoT; intelligenza artificiale; assistenti vocali online attraverso lo scanning vocale e testuale; monitoraggi con dispositivi indossabili; tracciamenti di prossimità come il wi-fi tracking);
  • Scambio tra diversi titolari di dati su larga scala con modalità telematiche; interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (ad esempio mobile payment);
  • Trattamenti di categorie particolari e di dati relativi a condanne penali e a reati interconnessi con altri dati personali raccolti per finalità diverse;
  • Trattamenti sistematici di dati biometrici;
  • Trattamenti sistematici di dati genetici.