Garante per la protezione dei dati personali, Delibera 11 ottobre 2018
L’art. 35, paragrafo 4, del Regolamento Europeo in materia di protezione dei dati personali (RGPD) , rimette alle autorita’ di controllo nazionali il compito di redigere e rendere pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto e di comunicarlo al Comitato europeo per la protezione dei dati di cui all’art. 68 del RGPD.
Quindi iIl Garante Privacy ha adottato tale elenco, in cui figurano, tra l’altro:
– trattamenti valutativi o di scoring su larga scala screening dei clienti di una banca attraverso l’utilizzo di dati registrati in una centrale rischi);
– trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti, effettuati anche on-line o attraverso app, trattamenti su larga scala di dati aventi carattere estremamente personale;
– trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione);
– trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo);
– trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (es. IoT);
– trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalita’ telematiche;
– trattamenti di categorie particolari di dati ai sensi dell’art. 9 oppure di dati relativi a condanne penali trattamenti sistematici di dati biometrici e genetici.