La valutazione d’impatto sulla protezione dei dati (DPIA) è necessaria quando un trattamento, specialmente se usa nuove tecnologie, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Questo deve essere valutato considerando la natura, l’oggetto, il contesto e le finalità del trattamento (articoli 35 e 36 del Regolamento GDPR). Per maggiori dettagli, puoi consultare le “Linee-guida concernenti la valutazione di impatto sulla protezione dei dati […]” (WP248rev.01 del 4 ottobre 2017).
Un esempio di situazioni che richiedono una DPIA sono i sistemi integrati, sia pubblici che privati, che collegano telecamere tra diversi soggetti. Anche i sistemi “intelligenti” che analizzano e elaborano le immagini per rilevare automaticamente comportamenti o eventi anomali (segnalandoli e registrandoli) rientrano in questa categoria.
In particolare, la valutazione d’impatto sulla protezione dei dati è sempre richiesta in due casi principali:
- Per la sorveglianza sistematica su larga scala di una zona accessibile al pubblico (articolo 35, paragrafo 3, lettera c) del Regolamento).
- Negli altri casi indicati dal Garante (come specificato nell'”Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati […]” dell’11 ottobre 2018).