Tante lunghe discussioni, e ora arrivano le prime semplificazioni.
Sono ancora criteri molto generici, a volte molto concreti. Ma è un inizio. Più in basso anche quelli indicato da EDPS.
Eccoli tradotti con google translator:
- 1. Trattamenti effettuati rigorosamente in base alle linee guida stabilite o autorizzate in precedenza mediante circolari o decisioni emesse dalle autorità di controllo, in particolare l'AEPD, a condizione che il trattamento non sia stato modificato da quando è stato autorizzato.
- 2. I trattamenti effettuati rigorosamente in base alle linee guida dei codici di condotta approvati dalla Commissione europea o dalle autorità di controllo, in particolare l'AEPD, a condizione che sia stato effettuato un EIPD completo per la convalida del codice di condotta e il trattamento è attua, comprese le misure e le garanzie definite nell'EIPD.
- 3. Trattamenti necessari per l'adempimento di un obbligo legale, l'adempimento di una missione svolta nell'interesse pubblico o nell'esercizio di poteri pubblici conferiti alla persona responsabile, purché nello stesso mandato legale non vi sia alcun obbligo di attuare un PEI, e sempre e quando un EIPD completo è già stato completato.
- 4. I trattamenti effettuati nell'esercizio della loro attività professionale da parte di lavoratori autonomi che esercitano individualmente, in particolare medici, professionisti della salute o avvocati, nonostante ciò possa essere richiesto quando il trattamento che svolgono è conforme, in modo significativo, con due o più criteri stabiliti nell'elenco dei tipi di trattamento dei dati che richiedono una valutazione d'impatto relativa alla protezione dei dati pubblicata dall'AEPD.
- 5. Trattamenti obbligatori per legge ed eseguiti in relazione alla gestione interna del personale delle PMI per la contabilità, la gestione delle risorse umane e dei salari, la sicurezza sociale e la salute del lavoro, ma mai in relazione ai dati dei clienti.
- 6. Trattamenti effettuati da comunità e sotto-comunità di proprietari ai sensi dell'articolo 2 (a, bec) della legge 49/1960 sulla proprietà orizzontale.
- 7. Trattamenti effettuati da associazioni professionali e associazioni senza scopo di lucro per la gestione dei dati personali dei propri associati e donatori e nell'esercizio del loro lavoro, a condizione che non siano inclusi nel trattamento di dati sensibili come quelli istituito dall'articolo 9.1 del GDPR e non si applica l'articolo 9.2, lettera d), di detto regolamento.
La valutazione di rischio (resta necessaria) potrà quindi affermare che è non è obbligatoria la dpia nei casi sopra indicati. E' autoritò spagnola, ma la valutazione di rischio può spiegare perchè si può applicare in Italia.
EIPD = EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS , la nostra DPIA o valutaziona d'impatto.
Spagnolo:
- 1. Tratamientos que se realizan estrictamente bajo las directrices establecidas o autorizadas con anterioridad mediante circulares o decisiones emitidas por las Autoridades de Control, en particular la AEPD, siempre y cuando el tratamiento no se haya modificado desde que fue autorizado.
- 2. Tratamientos que se realizan estrictamente bajo las directrices de códigos de conducta aprobados por la Comisión Europea o las Autoridades de Control, en particular la AEPD, siempre y cuando una EIPD completa haya sido realizada para la validación del código de conducta y el tratamiento se implementa incluyendo las medidas y salvaguardas definidas en la EIPD.
- 3. Tratamientos que sean necesarios para el cumplimiento de una obligación legal, cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, siempre que en el mismo mandato legal no se obligue a realizar una EIPD, y siempre y cuando ya se haya realizado una EIPD completa.
- 4. Tratamientos realizados en el ejercicio de su labor profesional por trabajadores autónomos que ejerzan de forma individual, en particular médicos, profesionales de la salud o abogados, sin perjuicio de que pueda requerirse cuando el tratamiento que lleven a cabo cumpla, de forma significativa, con dos o más criterios establecidos en la lista de tipos de tratamientos de datos que requieren evaluación de impacto relativa a protección de datos publicada por la AEPD.
- 5. Tratamientos obligatorios por ley y realizados con relación a la gestión interna del personal de las PYMES con finalidad de contabilidad, gestión de recursos humanos y nóminas, seguridad social y salud laboral, pero nunca relativos a los datos de los clientes.
- 6. Tratamientos realizados por comunidades y subcomunidades de propietarios tal como se definen en el artículo 2 (a, b y d) de la Ley 49/1960 de Propiedad Horizontal.
- 7. Tratamientos realizados por colegios profesionales y asociaciones sin ánimo de lucro para la gestión de los datos personales de sus propios asociados y donantes, y en el ejercicio de su labor, siempre que no incluyan en el tratamiento de datos sensibles tales como los que se establecen en el artículo 9.1 del RGPD y no sea de aplicación el artículo 9.2(d) de dicho Reglamento.
EDPS: DECISION OF THE EUROPEAN DATA PROTECTION SUPERVISOR OF 16 JULY 2019 ON DPIA LISTS ISSUED UNDER ARTICLES 39(4) AND (5) OF REGULATION (EU) 2018/1725
Annex 3 Non-exhaustive list of some common processing operations not requiring a DPIA
Indicative list of processing operations prima facie not requiring a DPIA when carried out by Union institutions, bodies, offices and agencies acting as sole or joint controllers:
- • Management of personal files under Article 26 of the Staff Regulations as such 6 ;
- • Standard staff evaluation procedures under the Staff Regulations (annual appraisal);
- • Standard 360° evaluations for helping staff members develop training plans;
- • Standard staff selection procedures;
- • Establishment of rights upon entry into service;
- • Management of leave, flexitime and telework;
- • Standard access control systems (non-biometric) 7 ;
- • Standard CCTV on a limited scale (no facial recognition, coverage limited to entry/exit points, only on-premises, not in public space).