Quali Organizzazioni sono obbligate ad effettuare la Valutazione di Impatto?

< Indietro

L’Art.35 del Regolamento 679/2016 così come la Direttiva 680/2016 sul trattamento dei dati personali della UE introducono i concetti sulla Data Protection Impact Assessment (DPIA) che in estrema sintesi consiste in una valutazione preliminare degli impatti a cui andrebbe incontro un trattamento laddove dovessero essere violate le misure di protezione dei dati. Sebbene non vi sia una chiara delimitazione del perimetro di obbligatorietà, è possibile affermare che la DPIA debba essere espletata da quelle Organizzazioni che effettuano operazioni di trattamento ad “alto rischio per i diritti e le libertà dei cittadini” che quindi potrebbero comportare rischi altrettanto elevati di violazione.

In particolare, vi è l’obbligo di effettuare la DPIA nei seguenti casi:

  1. quando si è in presenza di una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
  2. quando vi sia un trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;
  3. quando è prevista una sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

L’obbligatorietà può riguardare ad esempio un ospedale che tratta dati genetici o di salute dei propri pazienti, una azienda che ha un sistema di telecamere per monitorare il comportamento di guida in autostrada, laddove vi siano dei sistemi di controllo a distanza dei lavoratori oppure di monitoraggio delle attività dei dipendenti.