Una DPIA può riguardare un singolo trattamento; tuttavia, l’art. 35, paragrafo 1, prevede che Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi, e il considerando 92 aggiunge che Vi sono circostanze in cui può essere ragionevole ed economico effettuare una valutazione d'impatto sulla protezione dei dati che verta su un oggetto più ampio di un unico progetto, per esempio quando autorità pubbliche o enti pubblici intendono istituire un'applicazione o una piattaforma di trattamento comuni o quando diversi titolari del trattamento progettano di introdurre un'applicazione o un ambiente di trattamento comuni in un settore o segmento industriale o per una attività trasversale ampiamente utilizzata.
È possibile utilizzare un’unica DPIA per valutare più trattamenti che presentano analogie in termini di natura, ambito, contesto, finalità e rischi. In effetti, le valutazioni di impatto mirano a svolgere un’analisi sistematica di situazioni nuove che potrebbero comportare rischi elevati per i diritti e le libertà delle persone fisiche, e non occorre condurre una DPIA per quei trattamenti - svolti in un contesto specifico e per una specifica finalità – che siano già stati oggetto di analisi. Un esempio potrebbe essere offerto dall’utilizzo di tecnologie simili per raccogliere le stesse tipologie di dati per le identiche finalità; si pensi a un gruppo di autorità locali che decidano di installare ciascuna un analogo sistema di videosorveglianza: sarebbe possibile svolgere un’unica DPIA che prenda in esame il trattamento svolto da questi distinti titolari; oppure si pensi a un operatore ferroviario (unico titolare del trattamento) che potrebbe svolgere un’unica DPIA con riguardo all’impiego della videosorveglianza in tutte le stazioni ferroviarie di competenza. Lo stesso dicasi per trattamenti analoghi effettuati da titolari diversi; in casi del genere, sarebbe opportuno che una DPIA utilizzabile come riferimento venga condivisa o resa accessibile al pubblico, con l’obbligo di dare attuazione alle misure in essa delineate, mentre si dovrebbe giustificare la scelta di condurre una DPIA isolata.
Quando un trattamento è svolto in contitolarità, è necessario che ciascun contitolare definisca con precisione gli obblighi rispettivamente incombenti. La DPIA dovrebbe stabilire chi ha la responsabilità delle singole misure finalizzate alla gestione dei rischi e alla tutela dei diritti e delle libertà degli interessati. Ciascun titolare dovrebbe indicare con chiarezza le rispettive esigenze e condividere tutte le informazioni utili senza pregiudicare quanto coperto da segreto (per esempio, informazioni tutelate dal segreto commerciale, soggette a diritti di proprietà intellettuale, informazioni economiche riservate) né rivelare eventuali vulnerabilità.
Una DPIA può rivelarsi utile anche per valutare l’impatto di un nuovo dispositivo tecnologico in termini di protezione dei dati; è il caso, per esempio, di un nuovo prodotto hardware o software, se utilizzabile da titolari diversi per svolgere trattamenti diversi. Naturalmente il titolare che utilizzi tale prodotto resta tenuto a condurre una distinta DPIA rispetto alla specifica implementazione, ma – ove opportuno – tale DPIA può essere informata alla DPIA predisposta dal fornitore del prodotto. A titolo di esempio, si pensi al rapporto che sussiste fra produttori di contatori intelligenti e società fornitrici di elettricità. Ciascun fornitore del prodotto come anche ciascun soggetto che effettui trattamenti attraverso tale prodotto dovrebbe condividere ogni informazione utile senza pregiudicare quanto è protetto da segreto né generare rischi in termini di sicurezza a causa della rivelazione di eventuali vulnerabilità.
