Nelle Linee guida si legge che l’obbligo di effettuare una DPIA deve essere collocato nel contesto del più generale obbligo imposto ai titolari di gestire correttamente i rischi connessi al trattamento di dati personali.
E’, altresì, contenuta una serie di definizioni in base alle quali per “rischio” si intende uno scenario che va a descrivere un evento e le relative conseguenze che sono stimate in termini di gravità e probabilità.
Mentre, la “gestione del rischio” consiste in un insieme di attività finalizzate a guidare e monitorare un ente o organismo nei riguardi di tale rischio.
Se da un lato non è obbligatorio condurre una DPIA per ogni singolo trattamento, la obbligatorietà scatta solo nell’ipotesi in cui una determinata tipologia di trattamenti può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Il compito di stabilire quali trattamento sottoporre alla DPIA è rimesso al titolare che deve valutare, in modo continuativo, i rischi creati dai propri trattamenti al fine di individuare quelli che richiedono l’espletamento di una indagine in tale senso.
In linea di massima, la DPIA riguarda un singolo trattamento ma può essere utilizzata anche per valutare più trattamenti che presentano analogie riguardo alla natura, all’ambito, al contesto, alle finalità ed ai rischi.
Altra fattispecie presa in esame dalle Linee guida attiene all’ipotesi in cui il trattamento sia svolto in contitolarità, per cui è necessario che ciascun contitolare definisca con precisione gli obblighi che lo riguardano. La DPIA dovrebbe esplicitare chi ha la responsabilità delle singole misure finalizzate alla gestione dei rischi e alla tutela dei diritti e delle libertà degli interessati.

La DPIA va condotta quando il trattamento può presentare un rischio elevato. A tale scopo le Linee guida individuano nove criteri che il titolare deve prendere in esame:

1. trattamenti che hanno ad oggetto la valutazione, il punteggio (scoring), compresa la profilazione e le attività prognostiche, in particolare per quelle che attengono ad “aspetti riguardanti il rendimento professionale, la situazione patrimoniale, la salute, le preferenze, (omissis)”;
2. le decisioni automatizzate dalle quali scaturiscono effetti giuridici significativi;
3. il monitoraggio sistematico degli interessati compresa la raccolta di dati attraverso sistemi di sorveglianza di un’area accessibile al pubblico;
4. i dati sensibili o i dati di natura estremamente personale;
5. trattamenti di dati su larga scala, avendo come elementi di riferimento: il numero di soggetti interessati dal trattamento, il volume dei dati oggetto di trattamento, la durata dell’attività di trattamento e l’ambito geografico dell’attività di trattamento;
6. la combinazione o il raffronto di insiemi di dati;
7. i dati relativi a interessati vulnerabili, questa categoria comprende anche i minori, i dipendenti e “ogni interessato per il quale si possa identificare una situazione di disequilibrio, nel rapporto con il rispettivo titolare del trattamento”;
8. l’impiego di nuove soluzioni tecnologiche o organizzative, come l’esame delle impronte digitali messe in relazione con l’impronta del viso, ecc.;
9. i trattamenti che impediscono all’interessato di esercitare un diritto o di avvalersi di un servizio o di un contratto.

Se il titolare ravvisa che un trattamento soddisfa due dei nove criteri sopra elencati deve condurre una DPIA.

La DPIA, invece, non è necessaria nei seguenti casi:

1. se il trattamento non può comportare un rischio elevato per i diritti e le libertà di persone fisiche;
2. se la natura, l’ambito, il contesto e le finalità del trattamento sono molto simili a quelli del trattamento per cui è già stata condotta una DPIA,
3. se il trattamento è stato sottoposto a verifica da parte di un’autorità di controllo prima del maggio 2018 e non siano intercorse, nel frattempo, modifiche significative al trattamento;
4. per i trattamenti effettuati per adempiere un obbligo legale al quale è soggetto il titolare del trattamento, così come per i trattamenti necessari per eseguire un compito di interesse pubblico o connesso all’esercizio di un pubblico potere di cui è investito il titolare del trattamento, sottoposti a disciplina legale comunitaria o da parte di uno Stato membro e che siano già sottoposti a DPIA;
5. se il trattamento è compreso nell’elenco facoltativo redatto dall’autorità di controllo nazionale dei trattamenti.

Per i trattamenti già in corso, la DPIA sarà condotta per quelli “che possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche e per i quali siano intervenute variazioni dei rischi tenuto conto della natura, dell’ambito, del contesto e delle finalità dei trattamenti stessi.”.
Ai sensi dell’art. 35 del Regolamento, la DPIA dovrebbe essere condotta prima di procedere al trattamento, anche se essa è un processo permanente, soprattutto se si ha a che fare con un trattamento dinamico e soggetto a continue trasformazioni.

Il titolare ha l’onere di garantire l’effettuazione di una DPIA, e deve avvalersi del DPO e/o del responsabile del trattamento. Poiché tale consulto costituisce un obbligo, sia il consulto che le decisioni adottate dal titolare devono essere documentate all’interno della DPIA.
Il titolare raccoglie le opinioni degli interessati o dei loro rappresentanti. Se la decisione presa dal titolare si discosta dall’opinione degli interessati, è suggerito al titolare di documentare le motivazioni che hanno condotto alla prosecuzione o meno del progetto. Così come, il titolare dovrebbe motivare anche documentare la mancata consultazione degli interessati, qualora decida che quest’ultima non sia opportuna.
Il considerando 90 del Regolamento indica come una DPIA miri a gestire i rischi per i diritti e le libertà delle persone fisiche attraverso i seguenti processi:

• definizione del contesto;
• valutazione dei rischi;
• gestione dei rischi.

Non è obbligatoria la pubblicazione della DPIA ma essa potrebbe essere opportuna, in una ottica di trasparenza, anche solo in parte.
Se la DPIA indica l’esistenza di un rischio residuale elevato, il titolare dovrà consultare l’autorità di controllo prima di procedere al trattamento

E’ previsto un apparato sanzionatorio che si applica in caso di:

• mancato svolgimento della DPIA,
• quando il trattamento la richiedeva;
• una non corretta DPIA;
• mancata consultazione dell’autorità di controllo competente, ove ciò sia necessario. Una o più di queste violazioni possono comportare l’irrogazione di una sanzione amministrativa pecuniaria fino ad un massimo di 10 milioni di Euro o, se si tratta di un’impresa – fino al 2% del fatturato mondiale totale annuo dell’esercizio finanziario precedente, se superiore.