La DPIA è uno strumento che consente ai titolari di implementare sistemi di trattamento dati conformi al regolamento, e in taluni casi di trattamento la sua conduzione è obbligatoria. Si tratta di una procedura scalabile che può assumere forme diverse, tuttavia i requisiti basilari di una DPIA efficace sono fissati nel regolamento. I titolari dovrebbero guardare alla DPIA come a un’attività utile e positiva che favorisce l’osservanza dei requisiti di legge.
L’art. 24, primo paragrafo, del regolamento fissa le responsabilità essenziali del titolare del trattamento in termini di osservanza: “Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.”
La DPIA è un elemento essenziale ai fini del rispetto del regolamento qualora si preveda di svolgere o si svolga un trattamento a rischio elevato. Ciò significa che i titolari dovrebbero utilizzare i criteri indicati nel presente documento per stabilire se sia o meno necessario condurre una DPIA. I titolari sono liberi, sulla base delle rispettive politiche interne, di ampliare la casistica dei trattamenti soggetti a DPIA oltre quanto richiesto dalla lettera del regolamento; in ultima analisi, così facendo si potranno accrescere la fiducia e l’affidamento degli interessati e degli altri titolari.
Se prevede di svolgere un trattamento che può presentare un rischio elevato, il titolare deve:
• selezionare una metodologia per la conduzione della DPIA (vedi esempi in Allegato 1) che soddisfi i criteri fissati nell’Allegato 2, ovvero specificare e mettere in atto una procedura sistematica di DPIA che
o sia conforme ai criteri di cui all’Allegato 2;
o sia parte integrante dei processi esistenti relativi alla progettazione, allo sviluppo, al cambiamento, al rischio e al riesame delle procedure operative, conformemente ai processi, ai contesti e alla cultura interni;
o veda il coinvolgimento dei soggetti interessati e ne definisca con precisione le rispettive responsabilità (titolare, RPD/DPO, interessati o loro rappresentanti, area business, servizi tecnici, responsabili del trattamento, responsabile della sicurezza informativa, ecc.);
• fornire all’autorità di controllo competente, ove previsto, la relazione sulla DPIA svolta;
• consultare l’autorità di controllo se non è stato in grado di individuare misure sufficienti ad attenuare i rischi elevati;
• riesaminare periodicamente la DPIA e il trattamento che ne forma l’oggetto, quantomeno se intervengono variazioni del rischio posto dal trattamento in questione;
• documentare le decisioni assunte.
