Il Garante per la protezione dei dati personali, con la delibera n. 467/2018, ha predisposto l’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’articolo 35, comma 4, Regolamento (UE) 2016/679 (GDPR). L’elenco è stato pubblicato sulla Gazzetta Ufficiale del 19 novembre 2018.
Al Regolamento devono attenersi le Pubbliche amministrazioni e le aziende italiane che effettuano trattamenti di dati volti a offrire beni e servizi anche a persone residenti in altri Paesi dell’Unione:
- trattamenti valutativi o di scoring su larga scala, o che comportano la profilazione degli interessati relativi al rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti dell'interessato;
- trattamenti automatizzati finalizzati ad assumere decisioni che producono effetti giuridici;
- trattamenti che prevedono un utilizzo sistematico di dati per l'osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti, nonchè il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell'informazione inclusi servizi web, tv interattiva, ecc. rispetto alle abitudini d'uso e ai dati di visione per periodi prolungati;
- trattamenti su larga scala di dati aventi carattere estremamente personale connessi alla vita familiare o privata o che incidono sull'esercizio di un diritto fondamentale (quali i dati sull'ubicazione;
- trattamenti effettuati nell'ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell'attività dei dipendenti;
- trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo).
- trattamenti effettuati attraverso l'uso di tecnologie innovative, anche con particolari misure di carattere organizzativo;
- trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche;
- trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l'incrocio dei dati di consumo di beni digitali con dati di pagamento (es. mobile payment);
- trattamenti di categorie particolari di dati relativi a condanne penali e a reati;
- trattamenti sistematici di dati biometrici;
- trattamenti sistematici di dati genetici.