I trattamenti non soggetti a DPIA secondo il garante francese

DPIA è l’acronimo di Data Protection Impact Assessment e rappresenta la valutazione di impatto, prevista all’art. 35 del GDPR, di uno o più trattamenti che possono presentare un rischio elevato per i diritti e le libertà degli interessati.

‍Si tratta dello strumento principale attraverso il quale il titolare analizza i rischi e assicura la trasparenza e la protezione nelle operazioni di trattamento dei dati personali.

L’elenco dei trattamenti esenti secondo l’autorità francese

Lo scorso settembre è stato pubblicato un elenco di trattamenti, che per loro natura, ambito, contesto e finalità, non richiedono la redazione di una valutazione di impatto.

Ovviamente questi trattamenti devono essere conformi al GDPR sia rispetto al principio di legalità che in termini di sicurezza e in caso di dubbio sulla necessità, il garante francese consiglia  di effettuare comunque la DPIA, lasciandosi guidare dalla diligenza e nel rispetto del più vasto principio di responsabilizzazione.

L’elenco delle 12 attività di trattamento esenti dal DPIA non è da considerarsi esaustivo, perché esistono anche altri trattamenti che non comportano un rischio elevato per i diritti e la libertà delle persone fisiche. 

1. Trattamenti per la gestione delle risorse umane 

Sono esonerati dalla valutazione di impatto i trattamenti che riguardano la sola gestione del personale per le organizzazioni con meno di 250 dipendenti.

‍In particolare, per le finalità che riguardano:

• La gestione della retribuzione e l'emissione delle buste paga;
• La gestione della formazione;
• La gestione della mensa aziendale e l’emissione di buoni pasto;
• Il rimborso delle spese professionali;
• Il controllo dell'orario di lavoro;
• I resoconti delle interviste di valutazione annuali;
• La tenuta dei registri obbligatori per legge;
• L’uso di strumenti di comunicazione che non prevedono la profilazione o l’impiego di dati biometrici;
• Il controllo dell'orario di lavoro
  

2. Trattamenti per la gestione dei fornitori‍

Non sono obbligati a effettuare la DPIA i trattamenti che includono i processi di gestione della relazione con il fornitore di servizi.

Nello specifico, per tutte quelle finalità che consentono:

• Di svolgere operazioni amministrative relative a contratti, controlli, ricevimenti, fatture, regolamenti e contabilità per la gestione dei debiti;
• Per creare documenti di pagamento come bozze, assegni e cambiali;
• Per elaborare statistiche finanziarie e sul fatturato per fornitore;
• Di gestire selezioni di fornitori per le esigenze dell'azienda o dell'organizzazione;
• Di conservare la documentazione del fornitore.

3. Trattamenti relativi alla gestione della lista elettorale comunale

‍Fanno parte di questa lista i trattamenti attuati alle condizioni previste dalle normative di settore relativi alla gestione della lista elettorale comunale. In particolare i trattamenti che consentono:

• Di gestire le domande di iscrizione nelle liste elettorali che sono depositate o indirizzate nei comuni e di eseguire le loro istruzioni;
• Di istruire ed eliminare dall'elenco degli elettori, le persone che non soddisfano più le condizioni per apparire nell'elenco;
• Di gestire le richieste di comunicazione e copia dell'elenco degli elettori.

‍4. Trattamenti per la gestione dei comitati di stabilimento

I trattamenti per la gestione delle attività di lavori e dei comitati di stabilimento sono esenti dalla valutazione di impatto. Quindi tutti i trattamenti per le finalità di:

• Gestire i programmi socio-culturali dell'azienda e la comunicazione interna;
• La formazione di funzionari eletti;
• L’esercizio del diritto di allerta dell'articolo L2312-59 del Codice del lavoro;
• La gestione di diari e incontri;
• La gestione dei loro membri.

‍5. Trattamenti di istituzioni, associazioni e fondazioni

I trattamenti attuati da un'associazione, da una fondazione o da un’altra istituzione senza scopo di lucro non sono obbligati ad effettuare il DPIA.

‍Trattamenti per la gestione dei membri e dei donatori nell'ambito delle normali attività, purché i dati non siano riferiti a categorie particolari. Trattamenti che consentono:

• La gestione amministrativa dei membri e dei donatori, in particolare la gestione dei contributi;
• Di rispondere alle esigenze di gestione, ai rapporti statistici o agli elenchi di membri e contatti per l’invio di newsletter e per diramare convocazioni.
• Di creare elenchi di membri, anche quando tali elenchi sono resi disponibili al pubblico o su Internet;
• Di effettuare con qualsiasi mezzo di comunicazione operazioni relative a preventivi verso membri, donatori e potenziali clienti.
  

6. Trattamenti relativi all’elaborazione di dati sanitari

Sono autorizzati a non effettuare la DPIA i trattamenti relativi all’elaborazione dei dati sanitari necessaria per la cura di un paziente da parte di un professionista della salute che pratica individualmente in uno studio medico, un dispensario di farmacia o un laboratorio di biologia medica.

I trattamenti che regolano:

• La gestione degli appuntamenti;
• La gestione delle cartelle cliniche e la redazione delle prescrizioni;
• La gestione e la conservazione dei file necessari per il follow-up del paziente;
• L'istituzione e la trasmissione telematica dei fogli di cura;
• Le comunicazioni tra professionisti identificati coinvolti nella cura della persona interessata;
• La tenuta dei conti.

7. Trattamenti per le retribuzioni applicate dagli avvocati

Sono esenti dal DPIA i trattamenti che includono le retribuzioni applicate dagli avvocati durante l’esercizio della loro professione come individui.

I trattamenti di gestione del cliente, compresi quelli contenenti dati particolari che possono interessare persone particolarmente vulnerabili come i minori.

8. Trattamenti  effettuati dai cancellieri dei tribunali commerciali

Per la precisione, i trattamenti per:

• Il controllo della legalità degli atti;
• Mantenere registri diversi e directory legali.
  

9. Trattamenti attuati dai notai

Inclusi nell’elenco anche i trattamenti attuati dai notai per l'esercizio della loro attività notarile e la redazione dei documenti degli uffici notarili.

Trattamenti il ​​cui scopo è:

• L’invio elettronico di copie ed estratti dei registri dello stato civile, nell'ambito del processo di gestione dello stato civile dei dipartimenti competenti dei comuni e del Ministero degli Affari esteri;
• La conservazione da parte dei clienti di documenti giustificativi per le loro richieste di detrazioni da entrate complessive, riduzioni o crediti d'imposta, come parte del loro ruolo di terzi fidati come previsto dal Codice Fiscale Generale.
  

10. Trattamenti attuati da autorità locali e soggetti giuridici

‍I Trattamenti attuati dalle autorità locali e da soggetti giuridici di diritto pubblico e privato ai fini della gestione dei servizi a scuola, extra curriculari e della prima infanzia non sono obbligati a effettuare la valutazione di impatto.

Questa esenzione si applica alle operazioni di trattamento relative a:

• Pre-registrazione, registrazione, monitoraggio e fatturazione dei servizi in termini di scuola, extra curriculari e della prima infanzia;
• Censimento dei bambini soggetti all'obbligo scolastico;
• Trasporto scolastico, ristorazione scolastica ed extra curriculare;
• Attività e accoglienza scolastica ed extra scolastica; 
• Accoglienza collettiva di minori;
• Partecipazione all'organizzazione materiale e finanziaria delle gite scolastiche, o brevi soggiorni scolastici e lezioni di scoperta nel primo livello;
• Cura della prima infanzia in istituti e servizi di cura e servizi per bambini di età inferiore ai sei anni.

11. Trattamenti per gestire i controlli e gli orari di accesso fisico

Esenti tutti i trattamenti effettuati esclusivamente allo scopo di gestire i controlli e gli orari di accesso fisico per il calcolo dell'orario di lavoro.

‍Presenti nella lista i trattamenti per:

• L’istituzione di un dispositivo distintivo biometrico per accedere ai locali di un'organizzazione a fini di sicurezza;
• L’istituzione di un sistema per il controllo dell'orario di lavoro svolto dai dipendenti, a esclusione di qualsiasi altro scopo.
  

Nel caso vengano impiegati dispositivi biometrici e trattati dati di categorie particolari allora è necessario procedere alla redazione della DPIA.

12. Trattamenti relativi all’etilometro

Infine i trattamenti relativi all’etilometro, rigorosamente regolati dal codice della strada e attuati nel contesto delle attività di controllo e al solo scopo di impedire ai conducenti di guidare un veicolo sotto l'effetto di alcol o stupefacenti.