1 Il titolare del trattamento effettua previamente una valutazione d’impatto sulla protezione dei dati quando il trattamento dei dati personali può comportare un rischio elevato per la personalità o i diritti fondamentali della persona interessata. Se prevede più operazioni di trattamento simili può procedere a una valutazione d’impatto comune.
2 Il rischio elevato, in particolare in caso di utilizzazione di nuove tecnologie, risulta dal tipo, dall’entità, dalle circostanze e dallo scopo del trattamento. Sussiste segnatamente nel caso di:
- trattamento su grande scala di dati personali degni di particolare protezione;
- sorveglianza sistematica di ampi spazi pubblici.
3 La valutazione d’impatto sulla protezione dei dati contiene una descrizione del trattamento previsto, una valutazione dei rischi per la personalità o per i diritti fondamentali della persona interessata nonché i provvedimenti a loro tutela.
4 Il titolare privato tenuto a effettuare il trattamento in virtù di un obbligo legale è esentato dall’obbligo di procedere a una valutazione d’impatto.
5 Il titolare privato del trattamento può rinunciare a una valutazione d’impatto se si avvale di un sistema, un prodotto o un servizio che dispone di una certificazione secondo l’articolo 13 per l’impiego previsto o se rispetta un codice di condotta secondo l’articolo 11 che:#
- si basa su una valutazione d’impatto sulla protezione dei dati;
- prevede misure a tutela della personalità e dei diritti fondamentali della persona interessata; e
- è stato sottoposto all’IFPDT.
