Il Garante Privacy Francese (CNIL), ha voluto esprimere la propria opinione evidenziando dove non è necessario eseguire la Valutazione d’Impatto Privacy (DPIA).
L’esecuzione di un’operazione di trattamento, presente nell’elenco di seguito, non esonera il titolare del trattamento dal rispetto degli altri obblighi previsti dal GDPR. I trattamenti, anche esenti da analisi di impatto, devono essere valutati per la conformità al GDPR, sia dal punto di vista legale che in termini di sicurezza. In conformità con le linee guida del GDPR, in caso di dubbio sulla necessità di effettuare una valutazione d’impatto privacy (DPIA), si raccomanda di eseguirne una.
RISORSE UMANE / DIPENDENTI
- Operazioni di trattamento, relative al personale dipendente / collaboratori, nel rispetto delle norme vigente, che impiegano meno di 250 persone, ad eccezione del ricorso alla profilazione:
- gestione buste paga, emissione buste paga;
- gestione della formazione;
- la gestione del ristorante aziendale, l’emissione dei buoni pasto;
- rimborso spese professionali;
- controllo dell’orario di lavoro;
- follow-up dei colloqui annuali di valutazione;
- tenuta dei registri obbligatori;
- utilizzo di strumenti di comunicazione (messaggeria elettronica, telefonia, videoconferenza, strumenti collaborativi online) senza ricorrere alla profilazione o alla biometria;
- controllo dell’orario di lavoro (senza dispositivo biometrico, senza dati particolari (sensibili) o altamente personali).
- Elaborazione della gestione dei rapporti con i fornitori:
- esecuzione di operazioni amministrative relative a: appalti; controlli; ordini; fatture; regolamenti; contabilità per la gestione dei fornitori:
- gestione dei mezzi di pagamento (tratta, assegno, cambiale, ecc.);
- elaborazioni statistiche finanziarie e di fatturato per fornitore;
- selezione di fornitori per le esigenze dell’azienda o dell’organizzazione;
- gestione e conservazione della documentazione sui fornitori.
- Trattamenti finalizzati alla gestione delle attività degli organi sociali di una impresa compresa la costituzione:
- gestione dei programmi socio-culturali dell’azienda, la comunicazione interna;
- formazione dei funzionari eletti;
- notifiche ai componenti;
- gestione delle agende e degli incontri;
- gestione dei propri membri.
- Elaborazione effettuata da un’associazione, fondazione o qualsiasi altra istituzione senza scopo di lucro per la gestione dei suoi membri e donatori nell’ambito delle attività abituali quando i dati non sono particolari (sensibili):
- gestione amministrativa dei soci e dei donatori, in particolare la gestione degli abbonamenti;
- elaborazioni per la gestione dell’ente, gestionali, rapporti statistici o elenchi di membri o contatti, in particolare in vista dell’invio di newsletter, inviti, giornali; (i criteri scelti devono essere oggettivi e basati esclusivamente su caratteristiche che corrispondono alle finalità statutarie dell’ente);
- istituzione di elenchi di membri, anche quando tali elenchi sono resi disponibili al pubblico o su Internet;
- esecuzione, con qualsiasi mezzo di comunicazione, di operazioni rivolte ai soci, donatori e prospect.
- Trattamento dei dati sanitari necessari alla cura di un paziente da parte di un operatore sanitario che esercita in forma individuale presso uno studio medico, una farmacia o un laboratorio di biologia medica:
- gestione degli appuntamenti;
- gestione delle cartelle cliniche e la redazione delle prescrizioni;
- gestione e la conservazione delle cartelle necessarie al follow-up del paziente;
- istituzione e la trasmissione a distanza delle schede di cura;
- comunicazioni tra individuati professionisti coinvolti nella cura dell’interessato;
- contabilità.
- Trattamenti svolti dagli avvocati nell’esercizio della loro professione su base individuale:
- Elaborazione gestionale della clientela, ivi inclusa l’elaborazione di dati sensibili che possono riguardare persone vulnerabili (ad esempio minori).
- Elaborazioni effettuate dai notai ai fini dell’esercizio della loro attività notarile e redazione di atti per gli studi notarili:
- invio dematerializzato di copie ed estratti di atti di stato civile, nell’ambito del processo di gestione dello stato civile dei servizi competenti dei Comuni e del Ministero degli Affari Esteri;
- conservazione, per conto dei clienti, i documenti giustificativi delle loro richieste di ritenute sul reddito complessivo, riduzioni o crediti d’imposta, nell’ambito della loro missione di terzi fidati come previsto dalle norme vigenti.
- Trattamenti posti in essere da enti locali e persone giuridiche di diritto pubblico e privato ai fini della gestione dei servizi in ambito scolastico, extrascolastico e della prima infanzia.
- preiscrizione, registrazione, monitoraggio e fatturazione dei servizi in ambito scolastico, extrascolastico, extrascolastico e della prima infanzia (scuola materna ed elementare);
- censimento dei bambini soggetti all’obbligo scolastico;
- ristorazione scolastica ed extrascolastica; trasporto scolastico;
- accoglienza e attività scolastiche ed extrascolastiche; accoglienza collettiva di minori;
- partecipazione all’organizzazione materiale e finanziaria delle gite scolastiche, dei soggiorni scolastici brevi e delle lezioni di scoperta di primo grado;
- assistenza all’infanzia in strutture e servizi per bambini sotto i sei anni.
- Trattamenti attuati al solo scopo di gestire i controlli degli accessi fisici e le pianificazioni per il calcolo dell’orario di lavoro, esclusi qualsiasi dispositivi biometrici:
- implementazione di un sistema di badge senza dati biometrici per entrare nei locali di un’organizzazione a fini di sicurezza;
- implementazione di un sistema di controllo dell’orario di lavoro svolto dai dipendenti, con esclusione di ogni altra finalità.
- Trattamento relativo agli etilometri, rigorosamente inquadrato da un testo e attuato nell’ambito delle attività di trasporto al solo fine di impedire ai conducenti di guidare un veicolo sotto l’effetto di alcol o stupefacenti:
- Elaborazione finalizzata all’installazione di etilometri “immobilizzatori” nei camion di trasporto.
Fonte (Ius Privacy)