A meno che il trattamento ricada nelle eccezioni previste (III.B.b.), la DPIA deve essere condotta qualora un trattamento “possa presentare un rischio elevato” (III.B.a).
a) Quando sussiste l’obbligo di condurre una DPIA? Qualora un trattamento “possa presentare un rischio elevato”
Il regolamento non impone di condurre una DPIA con riguardo a ogni trattamento che possa comportare rischi per i diritti e le libertà delle persone fisiche. La DPIA è obbligatoria solo qualora un trattamento “possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche” (art. 35, paragrafo 1), come meglio chiarito dal paragrafo 3 dell’art. 35 e integrato da quanto prevede il paragrafo 4 dello stesso articolo. Si tratta di un requisito particolarmente pertinente qualora si intenda introdurre una tecnologia di trattamento innovativa.
Se la necessità di una DPIA non emerge con chiarezza, il WP29 raccomanda di farvi comunque ricorso in quanto la DPIA contribuisce all’osservanza delle norme in materia di protezione dati da parte dei titolari di trattamento.
Benché una DPIA possa risultare necessaria in altre circostanze, l’art. 35, paragrafo 3, cita alcuni esempi di trattamenti che “possono risultare in un rischio elevato”:
- (a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche11;
- (b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 1012; o
- (c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico”.
Come segnalato dall’utilizzo della locuzione “in particolare” nel paragrafo 3 dell’art. 35, l’elenco di cui sopra non ha pretese di esaustività. Possono esservi trattamenti “a rischio elevato” che non sono ricompresi nell’elenco in questione, pur comportando rischi elevati in misura analoga. Anche questi trattamenti dovrebbero essere oggetto di DPIA. Per tale motivo, i criteri elaborati nel prosieguo si spingono talora oltre la mera illustrazione di cosa debba intendersi in rapporto ai tre esempi forniti nell’art. 35, paragrafo 3, del regolamento.