Quando è necessaria una valutazione d’impatto sulla protezione dei dati?

Risposta

È richiesta una valutazione d’impatto sulla protezione dei dati ogni volta che il trattamento può comportare un rischio elevato per i diritti e le libertà delle persone. È necessaria una valutazione d’impatto almeno nei tre casi seguenti:

• una valutazione sistematica ed esaustiva degli aspetti personali di una persona, compresa la profilazione;
• il trattamento di dati sensibili su vasta scala;
• il monitoraggio sistematico e su vasta scala degli spazi pubblici.

Le autorità nazionali per la protezione dei dati, di concerto con il comitato europeo per la protezione dei dati, possono fornire un elenco dei casi in cui è richiesta una valutazione d’impatto sulla protezione dei dati. La valutazione d’impatto deve essere eseguita prima del trattamento e va considerata come uno strumento vivo, non semplicemente come un esercizio una tantum. Laddove vi siano rischi residui che non possono essere mitigati dalle misure messe in atto, l’autorità di protezione dei dati deve essere consultata prima dell’inizio del trattamento.

Esempi

Valutazione d’impatto sulla protezione dei dati necessaria
Una banca che esamina i suoi clienti in base a una banca dati in materia di crediti; un ospedale in procinto di rendere esecutiva una nuova banca dati con i dati sanitari dei pazienti; un operatore di autobus in procinto di installare telecamere sui mezzi per monitorare il comportamento di conducenti e passeggeri.

Valutazione d’impatto sulla protezione dei dati non necessaria
Il medico di una comunità che tratta i dati personali dei suoi pazienti. In questo caso non è necessaria una valutazione d’impatto poiché il trattamento da parte dei medici di comunità non viene eseguito su vasta scala nei casi in cui il numero di pazienti è limitato.

Riferimenti

• Linee guida del comitato europeo per la protezione dei dati sulla valutazione d'impatto sulla protezione dei dati
• Articoli 35 e 36; Considerando 89, 90, 91, 92, 93, 94, 95, 96 del GDPR

DPIA required
A bank screening its customers against a credit reference database; a hospital about to implement a new health information database with patients’ health data; a bus operator about to implement on-board cameras to monitor drivers’ and passengers’ behaviour.

DPIA not required
A community doctor processing personal data of his patients. In that case, there is no need for a DPIA since the processing by the community doctors isn’t done on a large scale in cases where the number of patients is limited.

• EDPB Guidelines on Data Protection Impact Assessment (DPIA)
• Articles 35 and 36 and Recitals (89) to (96) of the GDPR