Quando occorre effettuare la DPIA in materia di privacy

micro imprese e richiesta di curriculum vitae
8 Settembre 2018
AGYO PRIVACY: un innovazione tecnologica potente alla portata di tutti
18 Settembre 2018

Quando occorre effettuare la DPIA in materia di privacy

Articolo 35 del Gdpr:

“Quando un tipo di trattamento, prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi”.

 

Se il Dpo è obbligatorio per enti e aziende che effettuano il monitoraggio dei dati in modo regolare e sistematico su larga scala, la Dpia “è obbligatoria in tutti i casi in cui un trattamento di dati può presentare un rischio elevato per i diritti e le libertà delle persone”, per esempio quando avviene con l’uso di nuove tecnologie. In particolare il regolamento individua 9 casi specifici:

  1. Trattamento valutativi o di scoring, compresa la profilazione.
  2. Decisioni automatizzate che producono significativi effetti giuridici (assunzioni, concessioni di prestiti, stipula di assicurazioni).
  3. Il monitoraggio sistematico (videosorveglianza).
  4. Trattamento di dati sensibili, giudiziari o di natura estremamente personale (come le opinioni politiche).
  5. Trattamento dati personali su larga scala.
  6. Trattamento di Big Data.
  7. Trattamento di dati di soggetti vulnerabili (anziani, minori, richiedenti asilo).
  8. Trattamento di dati con l’utilizzo di nuove tecnologie (riconoscimento facciale, dispositivi IoT, ecc…).
  9. Trattamento che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento).

È sufficiente che sussistano due delle nove condizioni allora la Dpia è obbligatoria.