Il Data Protection Impact Assessment, o DPIA, non è sempre un documento da redigere in forma obbligatoria. Tuttavia quando se ne configura l’obbligo, la sua assenza può portare a sanzioni molto importanti.

Il chiarimento sulle fattispecie che configurano l’obbligo è arrivato con il provvedimento del Garante della Privacy n° 467 dell’11 Ottobre 2018 in attuazione dell’articolo 35 del regolamento UE sulla protezione dei dati n° 2016/679 che affida alle autorità di controllo dei diversi stati europei il compito di identificare le fattispecie ove l’obbligo sia previsto.

Le situazioni che comportano l’obbligo configurano evidentemente un elevato rischio per le persone i cui dati personali sono oggetto di trattamento.

Le casistiche individuate dal Garante della Privacy italiano identificano 12 tipologie di trattamento da sottoporre a valutazione di impatto, nonostante l’elenco non debba ritenersi esaustivo:

  • Trattamenti valutativi o di scoring su larga scala, profilazione e attività predittive anche online o attraverso app;
  • Decisioni automatizzate che producono effetti giuridici (come lo screening dei clienti di una banca per il tramite di dati di una centrale rischi);
  • Osservazione, monitoraggio o controllo degli interessati, trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione (compresi i trattamenti di metadati);
  • Trattamenti su larga scala di dati aventi carattere estremamente personale;
  • Trattamenti nel rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione);
  • Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo);
  • Trattamenti effettuati attraverso l’uso di tecnologie innovative (IoT; intelligenza artificiale; assistenti vocali online attraverso lo scanning vocale e testuale; monitoraggi con dispositivi indossabili; tracciamenti di prossimità come il wi-fi tracking);
  • Scambio tra diversi titolari di dati su larga scala con modalità telematiche; interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (ad esempio mobile payment);
  • Trattamenti di categorie particolari e di dati relativi a condanne penali e a reati interconnessi con altri dati personali raccolti per finalità diverse;
  • Trattamenti sistematici di dati biometrici;
  • Trattamenti sistematici di dati genetici.