Nelle Linee guida si legge che l’obbligo di effettuare una DPIA deve essere collocato nel contesto del più generale obbligo imposto ai titolari di gestire correttamente i rischi connessi al trattamento di dati personali.
E’, altresì, contenuta una serie di definizioni in base alle quali per “rischio” si intende uno scenario che va a descrivere un evento e le relative conseguenze che sono stimate in termini di gravità e probabilità.
Mentre, la “gestione del rischio” consiste in un insieme di attività finalizzate a guidare e monitorare un ente o organismo nei riguardi di tale rischio.
Se da un lato non è obbligatorio condurre una DPIA per ogni singolo trattamento, la obbligatorietà scatta solo nell’ipotesi in cui una determinata tipologia di trattamenti può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Il compito di stabilire quali trattamento sottoporre alla DPIA è rimesso al titolare che deve valutare, in modo continuativo, i rischi creati dai propri trattamenti al fine di individuare quelli che richiedono l’espletamento di una indagine in tale senso.
In linea di massima, la DPIA riguarda un singolo trattamento ma può essere utilizzata anche per valutare più trattamenti che presentano analogie riguardo alla natura, all’ambito, al contesto, alle finalità ed ai rischi.
Altra fattispecie presa in esame dalle Linee guida attiene all’ipotesi in cui il trattamento sia svolto in contitolarità, per cui è necessario che ciascun contitolare definisca con precisione gli obblighi che lo riguardano. La DPIA dovrebbe esplicitare chi ha la responsabilità delle singole misure finalizzate alla gestione dei rischi e alla tutela dei diritti e delle libertà degli interessati.