Quando i dati personali vanno trattati con valutazione di impatto.
Il recente provvedimento del Garante per la Privacy elenca i casi.
In considerazione del pochissimo tempo trascorso dall’entrata in vigore del GDPR (il decreto legislativo di adeguamento è solo dell’agosto 2018) e dell’assenza di precedenti giurisprudenziali, non è facile considerare quando è obbligatoria la valutazione di impatto sulla protezione dei dati personali di cui all’art. 35 del GDPR, necessaria quando un certo trattamento, che comporta l’uso di nuove tecnologie, possa “presentare un rischio elevato per i diritti e le libertà delle persone fisiche”. Del resto, l’evidente indeterminatezza di quest’ultima locuzione non aiuta di certo l’interprete.
Invero, il terzo comma dell’art. 35 appena citato elenca tre casi nei quali la valutazione di impatto è espressamente richiesta: la profilazione della clientela, il trattamento di dati giudiziari e la sorveglianza sistematica su larga scala di zona accessibile al pubblico. Ma il predetto elenco non è considerato esaustivo ed il quarto comma prevede che il Garante per la protezione dei dati personali rediga un altro specifico elenco delle tipologie di trattamento soggetti al requisito della valutazione di impatto.
La specificazione prevista dal GDPR è stata recentemente divulgata dal Garante della Privacy in allegato al suo provvedimento n. 467 dell’11-10-2018 che impone i “trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videoregistrazione e geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti”.
La valutazione di impatto è quindi necessaria nel caso di ricorso a tecnologie quali il gps, il black box, le strumentazioni di videoregistrazione e quelle che comunque monitorano e controllano in via continuativa ogni momento dell’attività lavorativa del dipendente.
Qualora dalla valutazione di impatto emergesse “un rischio elevato in assenza di misure adottate dal titolare per attenuare il rischio”, si renderebbe poi necessaria anche la preventiva consultazione del Garante per la Privacy prevista dall’art. 36 GDPR. (LC)
