Il WP29 propone i seguenti criteri utilizzabili dai titolari di trattamento per stabilire se una DPIA, o una metodologia specifica di DPIA, comprenda un numero di elementi sufficienti a garantire il rispetto delle disposizioni del regolamento:
• descrizione sistematica del trattamento (art. 35, paragrafo 7, lettera a) ):
-si tiene conto della natura, dell’ambito, del contesto e delle finalità del trattamento (considerando 90);
-sono indicati i dati personali oggetto del trattamento, i destinatari e il periodo previsto di conservazione dei dati stessi;
-si dà una descrizione funzionale del trattamento;
-si specificano gli strumenti coinvolti nel trattamento dei dati personali (hardware, software, reti, persone, supporti cartacei o canali di trasmissione cartacei);
-si tiene conto dell’osservanza di codici di condotta approvati (art. 35, paragrafo 8);
• valutazione di necessità e proporzionalità del trattamento (art. 35, paragrafo 7, lettera b) ):
- si definiscono le misure previste per rispettare il regolamento (art. 35, paragrafo 7, lettera d) e considerando 90) tenendo conto di quanto segue:
. misure che contribuiscono alla proporzionalità e alla necessità del trattamento sulla base di:
• finalità specifiche, esplicite e legittime (art. 5(1), lettera b) );
• liceità del trattamento (art. 6);
• dati adeguati, pertinenti e limitati a quanto necessario (art. 5(1)c) );
• periodo limitato di conservazione (art. 5(1), lettera e) );
. misure che contribuiscono ai diritti degli interessati:
• informazioni fornite agli interessati (artt. 12, 13, 14);
• diritto di accesso e portabilità dei dati (artt. 15 e 20);
• diritto di rettifica e cancellazione (artt. 16, 17, 19); diritto di opposizione e limitazione del trattamento (artt. 18,19, 21);
• rapporti con responsabili del trattamento (art. 28);
• garanzie per i trasferimenti internazionali di dati (Capo V);
• consultazione preventiva (art. 36);
• gestione dei rischi per i diritti e le libertà degli interessati (art. 35, paragrafo 7, lettera c):
- si determinano l’origine, la natura, la particolarità e la gravità dei rischi (v. considerando 84) o, in modo più specifico, di ogni singolo rischio (accesso illegittimo, modifiche indesiderate, indisponibilità dei dati) dal punto di vista degli interessati:
. si tiene conto delle fonti di rischio (considerando 90);
. si identificano gli impatti potenziali sui diritti e le libertà degli interessati in caso di eventi fra cui accesso illegittimo, modifiche indesiderate e indisponibilità dei dati;
. si identificano le minacce che potrebbero comportare accessi illegittimi, modifiche indesiderate e indisponibilità dei dati;
. si stimano probabilità e gravità (considerando 90);
- si stabiliscono le misure previste per gestire i rischi di cui sopra (art. 35, paragrafo 7, lettera d) e considerando 90);
• coinvolgimento dei soggetti interessati:
- si chiede consulenza al RPD/DPO (art. 35, paragrafo 2);
- si sentono gli interessati o i loro rappresentanti (art. 35, paragrafo 9), se del caso.