Il Garante della protezione dei dati personali ha pubblicato l’elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto, che specificano quanto riportato nel WP 248, rev. 01 , riportate nell’allegato 1 facente parte integrante del provvedimento del Garante n. 467 dell'11 ottobre 2018.
Le “Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679” del Gruppo di Lavoro Articolo 29 per la Protezione dei Dati del 4 aprile 2017, come modificate e adottate da ultimo il 4 ottobre 2017 e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018 “WP 248, rev. 01”, hanno individuato i seguenti nove criteri da tenere in considerazione ai fini dell’identificazione dei trattamenti che possono presentare un “rischio elevato”:
1) valutazione o assegnazione di un punteggio, inclusiva di profilazione e previsione, in particolare in considerazione di “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti dell'interessato”;
2) processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente sulle persone;
3) monitoraggio sistematico degli interessati;
4) dati sensibili o dati aventi carattere altamente personale;
5) trattamento di dati su larga scala;
6) creazione di corrispondenze o combinazione di insiemi di dati;
7) dati relativi a interessati vulnerabili;
8) uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative;
9) quando il trattamento in sé "impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto");
il ricorrere di due o più dei predetti criteri è indice di un trattamento che presenta un rischio elevato per i diritti e le libertà degli interessati e per il quale è quindi richiesta una valutazione d’impatto sulla protezione dei dati.
Fonte: Garante privacy