Il Ministero della Giustizia ha recentemente reso pubblica una propria Circolare in materia di “Valutazione d’impatto sulla protezione dei dati (c.d. DPIA)”, emanata ai sensi dell’art. 35 del Regolamento (UE) 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (General Data Protection Regulation o GDPR). L’art. 35 dispone che “quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche”, il titolare del trattamento deve effettuare, “prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali” e che la valutazione d’impatto è richiesta in particolare nei casi di: “a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico”. Dal momento che il GDPR non definisce formalmente il concetto di valutazione d’impatto sulla protezione dei dati, la Circolare fornisce istruzioni operative e la relativa modulistica in relazione a tale valutazione, alla luce delle Linee Guida elaborate dal “Gruppo Art. 29” in materia di trasparenza (WP 260) e del Provvedimento dell’11 ottobre 2018 del Garante per la protezione dei dati personali (Garante Privacy) che ha introdotto un elenco delle tipologie di trattamenti soggetti al meccanismo di coerenza da sottoporre a valutazione d’impatto.