La DPIA va condotta quando il trattamento può presentare un rischio elevato. A tale scopo le Linee guida individuano nove criteri che il titolare deve prendere in esame:
-
trattamenti che hanno ad oggetto la valutazione, il punteggio (scoring), compresa la profilazione e le attività prognostiche, in particolare per quelle che attengono ad “aspetti riguardanti il rendimento professionale, la situazione patrimoniale, la salute, le preferenze, (omissis)”;
-
le decisioni automatizzate dalle quali scaturiscono effetti giuridici significativi;
-
il monitoraggio sistematico degli interessati compresa la raccolta di dati attraverso sistemi di sorveglianza di un’area accessibile al pubblico;
-
i dati sensibili o i dati di natura estremamente personale;
-
trattamenti di dati su larga scala, avendo come elementi di riferimento: il numero di soggetti interessati dal trattamento, il volume dei dati oggetto di trattamento, la durata dell’attività di trattamento e l’ambito geografico dell’attività di trattamento;
-
la combinazione o il raffronto di insiemi di dati;
-
i dati relativi a interessati vulnerabili, questa categoria comprende anche i minori, i dipendenti e “ogni interessato per il quale si possa identificare una situazione di disequilibrio, nel rapporto con il rispettivo titolare del trattamento”;
-
l’impiego di nuove soluzioni tecnologiche o organizzative, come l’esame delle impronte digitali messe in relazione con l’impronta del viso, ecc.;
-
i trattamenti che impediscono all’interessato di esercitare un diritto o di avvalersi di un servizio o di un contratto.
Se il titolare ravvisa che un trattamento soddisfa due dei nove criteri sopra elencati deve condurre una DPIA.