Cuando los datos personales se tratan con evaluación de impacto.
La reciente disposición del Garante de la Privacidad enumera los casos
Teniendo en cuenta el poco tiempo transcurrido desde la entrada en vigor del GDPR (el decreto legislativo de concertación es solo de agosto de 2018) y la ausencia de precedentes jurisprudenciales, no es fácil considerar cuándo es obligatoria la evaluación de impacto sobre la protección de datos personales del art. 35 de la GDPR, necesaria cuando hay un determinado tratamiento que implica el uso de nuevas tecnologías, puede "presentar un alto riesgo para los derechos y libertades de las personas físicas". Además, la indeterminación de esta última frase ciertamente no ayuda al intérprete.
De hecho, el tercer párrafo del apenas citado art. 35, enumera tres casos en los que se solicita específicamente la evaluación de impacto: perfiles de clientes, procesamiento de datos judiciales y vigilancia sistemática a gran escala del área accesible al público. Pero la lista antes mencionada no se considera exhaustiva y el cuarto párrafo establece que el Garante para la protección de datos personales elabore otra lista específica de tipos de tratamiento sujetos a los requisitos de evaluación de impacto.
La especificación proporcionada por el GDPR fue revelada recientemente por el Garante de la Privacidad adjunto a la disposición n. 467 del 11.10.2018 que impone los “tratamientos realizados en el ámbito de la relación laboral mediante sistemas tecnológicos (también en relación con los sistemas de grabación de video y geolocalización), de los cuales se deriva la posibilidad de realizar un control remoto de la actividad de los empleados ".
Por lo tanto, la evaluación de impacto es necesaria en el caso de recurrir a tecnologías como el GPS, la caja negra, el equipo de grabación de video y aquellos que, en cualquier caso, monitoreen y controlen continuamente cada momento del trabajo del empleado.
Si de la evaluación de impacto surgiese "un riesgo elevado en ausencia de medidas adoptadas por el propietario para atenuar el riesgo", sería necesaria la consulta previa al Garante de la Privacidad prevista del art. 36 GDPR. (LC)
