Con delibera n. 269 del 11 ottobre 2018, il Garante della privacy ha individuato l’elenco delle tipologie di trattamenti da sottoporre a valutazione di impatto, in base all’art. 35 del Reg. UE 679/2016, secondo cui: “quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali (…)”.
Le situazioni individuate dal richiamato art. 35 in cui possono presentarsi rischi elevati per gli interessati sono i seguenti:
- Una valutazione sistematica e globale di aspetti personali relativi alle persone fisiche, basata su un trattamento automatizzato (compresa la profilazione) e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
- Il trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali o a reati;
- La sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Con particolare riguardo ai rapporti di lavoro, il Garante ha ricompreso nell’elenco di cui in premessa:
- I trattamenti che profilano gli interessati (es: quelli relativi ad aspetti riguardanti il rendimento professionale, situazione economica, salute, interessi personali etc…);
- I trattamenti effettuati mediante sistemi tecnologici (es: videosorveglianza, geolocalizzazione) da cui derivi la possibilità di un controllo a distanza dei lavoratori;
Nei predetti casi, dunque, va effettuata una valutazione di impatto, opportunamente redatta per iscritto, valutando i rischi per i diritti e le libertà degli interessati e predisponendo le misure adeguate pe rassicurare riservatezza ed integrità dei dati.
Qualora il titolare non sia in grado di individuare misure sufficienti per la riduzione dei rischi, consulterà l’autorità Garante, il quale potrà rilasciare un parere entro otto settimane (prorogabile di altre sei), al quale il titolare dovrà uniformarsi.
Qualora il titolare del trattamento, in uno dei casi suddetti, si determini per non procedere alla valutazione di impatto, dovrà giustificare e documentare i motivi che lo hanno spinto a non effettuarla