(Madrid, 4 settembre 2019). L’Agenzia spagnola per la protezione dei dati (AEPD) ha pubblicato l’elenco dei trattamenti di dati personali in cui non è obbligatorio effettuare una valutazione d’impatto, con l’obiettivo di facilitare l’identificazione di questo tipo di trattamento da parte dei responsabili. Il regolamento generale sulla protezione dei dati (GDPR) include nel suo articolo 35.1 che le organizzazioni che elaborano i dati sono obbligate a svolgere una valutazione d’impatto sulla protezione dei dati (EIPD) prima di effettuare tali trattamenti quando è probabile che, a seconda della della loro natura, portata, contesto o fini, rappresentano un rischio elevato per i diritti e le libertà delle persone.
D’altra parte, la sezione 5 dello stesso articolo afferma che le autorità di controllo possono pubblicare l’elenco dei tipi di trattamento che non richiedono una valutazione d’impatto. Allo stesso modo, e come previsto dal GDPR, l’Agenzia ha comunicato all’European Data Protection Committee (CEPD) questo elenco, che non esenta dal rispetto del resto degli obblighi stabiliti dalle norme sulla protezione dei dati, integra quello precedentemente pubblicato dall’Agenzia, che contiene i trattamenti in cui è obbligatorio attuare un EIPD .
L’Agenzia ha definito che non sarà necessario effettuare un EIPD quando i trattamenti sono effettuati secondo le linee guida contenute nelle circolari o nelle decisioni precedentemente emesse dalle autorità di controllo, in particolare l’AEPD, a condizione che il trattamento non sia stato modificato da quando è stato autorizzato.
Non è inoltre necessario se il trattamento viene effettuato in conformità ai codici di condotta approvati dalla Commissione europea o dalle autorità di controllo, a condizione che sia già stato effettuato un EIPD per convalidare tale codice di condotta e includesse le garanzie definite nella valutazione d’impatto.
Tra i trattamenti che fanno parte dell’elenco ci sono anche, tra gli altri, quelli eseguiti da lavoratori autonomi che esercitano individualmente, in particolare medici, professionisti della salute o avvocati, fatti salvi quelli che potrebbero essere richiesti quando tali trattamenti servano a soddisfare due o più criteri stabiliti nell’elenco dei tipi di trattamento dei dati che richiedono EIPD; così come quelli richiesti dalla legge e svolti in relazione alla gestione interna del personale delle PMI per la contabilità, la gestione delle risorse umane e dei salari, la sicurezza sociale e la salute del lavoro, ma mai in relazione ai dati dei clienti.
Valutazioni di impatto
Il regolamento stabilisce che nei casi in cui è probabile che i trattamenti comportino un rischio elevato per i diritti e le libertà delle persone fisiche, è responsabilità del responsabile del trattamento effettuare una valutazione d’impatto relativa alla protezione dei dati, che valuta, in particolare, , l’origine, la natura, la particolarità e la gravità del rischio.
FONTE: AEPD – GARANTE SPAGNOLO