Adottate le Linee guida per la valutazione di impatto sulla protezione dei dati (DPIA, Data Protection Impact Assessment) come da art. 35 del GDPR - Regolamento europeo 2016/679. Una DPIA è necessaria se il trattamento "può presentare un rischio elevato per i diritti e le libertà delle persone fisiche" e utile anche per valutare l'effetto di un nuovo dispositivo tecnologico.

Per assicurare un'interpretazione uniforme, i Garanti Ue hanno individuato nove criteri per i trattamenti più rischiosi:


1. Trattamenti valutativi o di scoring
2. Decisioni automatizzate che producono significativi effetti giuridici o di analoga natura
3. Monitoraggio sistematico
4. Dati sensibili o dati di natura estremamente personale di cui all’art. 9 e all’art. 10
5. Trattamenti di dati su larga scala
6. Combinazione o raffronto di insiemi di dati
7. Dati relativi a interessati vulnerabili (considerando 75)- es. monitoraggio terminali informatici e navigazione internet dei
Dipendenti, anche riferibile al criterio 3
8. Utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative
9. Tutti quei trattamenti che, di per sé, “impediscono [agli interessati] di esercitare un diritto o di avvalersi di un servizio o di
un contratto”

 

Fonte: http://www.garanteprivacy.it/DPIA