Può darsi il caso di un trattamento che riflette gli esempi indicati nel precedente articolo ma che, a giudizio del titolare, non “può presentare un rischio elevato”. In casi del genere, il titolare dovrà motivare e documentare la scelta della mancata conduzione della DPIA, allegando o annotando l’opinione del responsabile della protezione dei dati.
Inoltre, il principio di responsabilizzazione prevede che ciascun titolare “tiene un registro delle attività di trattamento svolte sotto la propria responsabilità” comprendente, fra l’altro, le finalità del trattamento, una descrizione delle categorie di dati e i destinatari dei dati stessi, nonché “ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1” (art. 30, paragrafo 1) e deve valutare se vi sia la probabilità di un rischio elevato anche se potrà decidere, in ultima analisi, di non condurre una DPIA.
Nota: Le autorità di controllo sono tenute a redigere, pubblicare e comunicare al Comitato europeo per la protezione dei dati (CEPD) un elenco dei trattamenti che necessitano di una DPIA (art. 35, paragrafo 4). I criteri sopra indicati possono facilitare la definizione di tale elenco da parte delle autorità di controllo, che potranno eventualmente aggiungere elementi più specifici col tempo. Per esempio, anche il trattamento di qualsiasi tipologia di dato biometrico o di dati relativi a minori potrebbe essere considerato pertinente ai fini dell’inserimento nell’elenco di cui all’art. 35, paragrafo 4.