Il GDPR introduce il concetto di valutazione di impatto sulla protezione dei dati personali (DPIA) per i trattamenti che possono presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
La valutazione consiste in un processo in cui è descritto il trattamento, una sua valutazione sulla base del criterio di necessità e di proporzionalità, i rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento di dati personali, i sistemi di gestione dei rischi ed una valutazione delle conseguenze che i rischi comportano.
La DPIA è richiesta quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono trattati dati sensibili, o anche per una combinazione di questi e altri fattori.
L'articolo 35 paragrafo 3 del GDPR prevede che la valutazione è obbligatoria nei casi in cui:
- sia necessaria "una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche";
- sia effettuato un trattamento su larga scala, di categorie particolari di dati personali di cui all'art. 9, par. 1 del GDPR, o di dati relativi a condanne penali e a reati di cui all'articolo 10;
- sia prevista "la sorveglianza sistematica su larga scala di una zona accessibile al pubblico".
Possono sussistere, tuttavia, operazioni di trattamento a "rischio elevato" che non trovano collocazione in tale elenco ma che presentano rischi altrettanto elevati e pertanto soggetti alla valutazione di impatto sulla protezione dei dati.
Il Garante della protezione dei dati ha redatto un elenco delle tipologie di trattamenti da sottoporre a valutazione d'impatto.
Sul sito del Garante è segnalato quale strumento di supporto ai titolari, il software realizzato dal Garante francese e personalizzato in italiano a cura dello stesso Garante.