AUTORE
Avv. Stefano Petrussi
Quando un determinato trattamento – tenuto conto dell’uso di nuove tecnologie e della sua natura, del contesto e delle finalità – può presentare un rischio elevato per i diritti e libertà delle persone fisiche, il GDPR obbliga i titolari a svolgere una valutazione di impatto (art. 35).
Si pensi, per esempio, ai seguenti trattamenti:
- trattamenti valutativi o di scoring;
- trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione, dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti);
- trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento;
- trattamenti effettuati attraverso l’uso di tecnologie innovative (es. sistemi di intelligenza artificiale; device IoT, etc.).
.
Al riguardo, per quanto concerne le responsabilità degli intermediari iscritti nelle sezioni A, B, D del R.U.I., non si può prescindere dal ruolo ricoperto in materia di protezione dei dati e dai rapporti instaurati con le Compagnie:
- titolare autonomo: la valutazione di impatto dovrà essere effettuata dall’intermediario per quanto attiene i trattamenti svolti autonomamente;
- responsabile: nel ruolo di responsabile ai sensi dell’art. 28 del GDPR, gli intermediari dovranno assistere il titolare (la Compagnia), che potrà consultarli quando effettua la valutazione di impatto;
- contitolare: qualora, invece, il trattamento coinvolga i contitolari del trattamento, questi ultimi dovranno definire con precisione le rispettive competenze. La loro valutazione d’impatto sulla protezione dei dati dovrà stabilire quale parte sia competente a proteggere i diritti e le libertà degli interessati.