Il regolamento non definisce cosa rappresenti un trattamento “su larga scala”.
Il Gruppo di lavoro europeo raccomanda di tenere conto, in particolare, dei fattori qui elencati al fine di stabilire se un trattamento sia effettuato su larga scala:
– il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
– il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
– la durata, ovvero la persistenza, dell’attività di trattamento;
– la portata geografica dell’attività di trattamento.
Alcuni esempi di trattamento su larga scala sono i seguenti:
– trattamento di dati relativi a pazienti svolto da un ospedale nell’ambito delle ordinarie attività;
– trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio);
– trattamento di dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food;
– trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività;
– trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale;
– trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici.
Alcuni esempi di trattamento non su larga scala sono i seguenti:
– trattamento di dati relativi a pazienti svolto da un singolo professionista sanitario;
– trattamento di dati personali relativi a condanne penali e reati svolto da un singolo avvocato.
Fonte: articolo 37, paragrafo 1, lettere b) e c), GDPR.