Con provvedimento n.467 dell’11 ottobre 2018, il Garante per la protezione dei dati personali ha individuato le tipologie di trattamento che i soggetti pubblici e privati dovranno sottoporre a DPIA (Data Protection Impact Assessment) prima di iniziare il trattamento stesso.
L’elenco, disponibile al seguente link https://www.garanteprivacy.it/garante/document?ID=9059358, recepisce le osservazioni esposte dal Comitato europeo per la protezione dei dati nel mese di settembre.
Tra i trattamenti individuati dal Garante Privacy, si citano i trattamenti sistematici di dati biometrici e di dati genetici, i trattamenti effettuati con l’uso di tecnologie innovative (tra cui ad esempio l’intelligenza artificiale), i trattamenti valutativi o di scoring su larga scala nonché i trattamenti non occasionali di dati relativi a soggetti vulnerabili tra cui minori, anziani e pazienti.
Pertanto, la valutazione d’impatto sulla protezione dei dati sarà necessaria qualora i trattamenti effettuati dal titolare rientrino nel sopra citato elenco. Il Garante ha comunque ricordato come la valutazione d’impatto debba essere effettuata anche quando ricorrano almeno due dei criteri già individuati dal WP29.