Articoli

Pubblicato l’elenco delle tipologie di trattamenti soggetti al requisito di valutazione d’impatto

Avv. Vincenzo Colarocco

Con il provvedimento n. 467 dell’11 ottobre 2018, il Garante pubblica l’elenco dei trattamenti che, ai sensi del paragrafo 4 dell’art. 35 del Regolamento (UE) 2016/679, sono soggetti a valutazione d’impatto.

In particolare, tenuto conto e allo scopo di specificarne ulteriormente il contenuto delle linee guida in materia di valutazione d’impatto sulla protezione dei dati del Gruppo Articolo 29 (WP 248, rev. 01) che hanno individuato nove criteri da tenere in considerazione ai fini dell’identificazione dei trattamenti che possono presentare un “rischio elevato”, il Garante ha predisposto un elenco delle tipologie di trattamento da sottoporre obbligatoriamente a valutazione d’impatto. Tale elenco,  rilevato che potrà essere modificato o integrato anche sulla base delle risultanze emerse nel corso della prima fase di applicazione del GDPR, è stato comunicato al Comitato europeo per la protezione dei dati che, nel garantire l’applicazione coerente del Regolamento, sarà tenuto ad emettere un parere. L’Autorità pone l’accento sul fatto che si faccia riferimento esclusivamente a tipologie di trattamento soggette al meccanismo di coerenza e che l’elenco non può intendersi esaustivo, restando fermo quindi l’obbligo di adottare una valutazione d’impatto sulla protezione dei dati laddove ricorrano due o più dei criteri individuati dal WP 248, rev. 01 e che in taluni casi “un titolare può ritenere – comunque – che un trattamento che soddisfa soltanto uno [dei predetti] criteri richieda una valutazione d’impatto sulla protezione dei dati”.