L’Art. 35 del Regolamento europeo n. 2016/679 sulla protezione dei dati personali (GDPR) parla di valutazione d’impatto sulla protezione dei dati che deve essere effettuata dal titolare del trattamento quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

La valutazione contiene almeno:

• una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, se del caso, l'interesse legittimo perseguito dal titolare del trattamento;
• una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
• una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1;

le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

Inoltre la valutazione d'impatto sulla protezione dei dati è richiesta in particolare nei seguenti casi:

• una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata sul trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono allo stesso modo significativamente su dette persone fisiche;
• il trattamento, su larga scala, di categorie particolari di dati di cui all'articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all'articolo 10;
• la sorveglianza sistematica di una zona accessibile al pubblico su larga scala.

Nel valutare l'impatto del trattamento effettuato dai relativi titolari o responsabili si tiene debito conto, anche, del rispetto da parte di questi ultimi dei codici di condotta approvati di cui all'articolo 40, in particolare ai fini di una valutazione d'impatto sulla protezione dei dati.

La DPIA dovrebbe essere condotta “prima di procedere al trattamento” (art. 35, paragrafo 1, e art. 35, paragrafo 10; considerando 80 e 93). Tale impostazione è coerente con i principi della privacy by design e by default (art. 25 e considerando 78). La DPIA deve essere considerata uno strumento di ausilio nel processo decisionale relativo al trattamento.

L’effettuazione della DPIA dovrebbe collocarsi quanto più a monte possibile nella fase di progettazione di un trattamento, anche se non tutte le operazioni di tale trattamento sono già delineate. L’aggiornamento della DPIA nel corso dell’intero ciclo di vita di un determinato progetto garantirà la dovuta considerazione delle tematiche di privacy e protezione dei dati favorendo l’individuazione di soluzioni che promuovano l’osservanza.

Spetta al titolare garantire l’effettuazione della DPIA (art. 35, paragrafo 2). La conduzione materiale della DPIA può essere affidata a un altro soggetto, interno o esterno all’organismo; tuttavia, la responsabilità ultima dell’adempimento ricade sul titolare del trattamento.