La DPIA è una valutazione preliminare, eseguita dal titolare del trattamento dei dati personali, relativa agli impatti a cui andrebbe incontro un trattamento laddove dovessero essere violate le misure di protezione dei dati.

In linea con l’approccio basato sul rischio adottato dal regolamento generale sulla protezione dei dati, nel caso di specie, non è obbligatorio svolgere una valutazione d’impatto sulla protezione dei dati per ciascun trattamento; è necessario realizzare una valutazione d’impatto sulla protezione dei dati soltanto quando la tipologia di trattamento “può presentare un rischio elevato per i diritti e le libertà delle persone fisiche” (articolo 35 del Regolamento 2016/679).

OBBLIGO DPIA

Ai sensi dell’articolo 35, paragrafo 3 del Regolamento 2016/679 la valutazione è stata effettuata nei casi in cui un trattamento può presentare rischi elevati, ossia quando:

  1. una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
  2. il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;

la sorveglianza sistematica su larga scala di una zona accessibile al pubblico