La DPIA va condotta quando il trattamento può presentare un rischio elevato. A tale scopo le Linee guida individuano nove criteri che il titolare deve prendere in esame:

1. trattamenti che hanno ad oggetto la valutazione, il punteggio (scoring), compresa la profilazione e le attività prognostiche, in particolare per quelle che attengono ad “aspetti riguardanti il rendimento professionale, la situazione patrimoniale, la salute, le preferenze, (omissis)”;
2. le decisioni automatizzate dalle quali scaturiscono effetti giuridici significativi;
3. il monitoraggio sistematico degli interessati compresa la raccolta di dati attraverso sistemi di sorveglianza di un’area accessibile al pubblico;
4. i dati sensibili o i dati di natura estremamente personale;
5. trattamenti di dati su larga scala, avendo come elementi di riferimento: il numero di soggetti interessati dal trattamento, il volume dei dati oggetto di trattamento, la durata dell’attività di trattamento e l’ambito geografico dell’attività di trattamento;
6. la combinazione o il raffronto di insiemi di dati;
7. i dati relativi a interessati vulnerabili, questa categoria comprende anche i minori, i dipendenti e “ogni interessato per il quale si possa identificare una situazione di disequilibrio, nel rapporto con il rispettivo titolare del trattamento”;
8. l’impiego di nuove soluzioni tecnologiche o organizzative, come l’esame delle impronte digitali messe in relazione con l’impronta del viso, ecc.;
9. i trattamenti che impediscono all’interessato di esercitare un diritto o di avvalersi di un servizio o di un contratto.

Se il titolare ravvisa che un trattamento soddisfa due dei nove criteri sopra elencati deve condurre una DPIA.