Per i trattamenti già in corso, la DPIA sarà condotta per quelli “che possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche e per i quali siano intervenute variazioni dei rischi tenuto conto della natura, dell’ambito, del contesto e delle finalità dei trattamenti stessi.”.
Ai sensi dell’art. 35 del Regolamento, la DPIA dovrebbe essere condotta prima di procedere al trattamento, anche se essa è un processo permanente, soprattutto se si ha a che fare con un trattamento dinamico e soggetto a continue trasformazioni.

Il titolare ha l’onere di garantire l’effettuazione di una DPIA, e deve avvalersi del DPO e/o del responsabile del trattamento. Poiché tale consulto costituisce un obbligo, sia il consulto che le decisioni adottate dal titolare devono essere documentate all’interno della DPIA.
Il titolare raccoglie le opinioni degli interessati o dei loro rappresentanti. Se la decisione presa dal titolare si discosta dall’opinione degli interessati, è suggerito al titolare di documentare le motivazioni che hanno condotto alla prosecuzione o meno del progetto. Così come, il titolare dovrebbe motivare anche documentare la mancata consultazione degli interessati, qualora decida che quest’ultima non sia opportuna.
Il considerando 90 del Regolamento indica come una DPIA miri a gestire i rischi per i diritti e le libertà delle persone fisiche attraverso i seguenti processi:

• definizione del contesto;
• valutazione dei rischi;
• gestione dei rischi.

Non è obbligatoria la pubblicazione della DPIA ma essa potrebbe essere opportuna, in una ottica di trasparenza, anche solo in parte.
Se la DPIA indica l’esistenza di un rischio residuale elevato, il titolare dovrà consultare l’autorità di controllo prima di procedere al trattamento