L’obbligo di condurre una DPIA vige per i trattamenti in corso che possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche e per i quali siano intervenute variazioni dei rischi tenuto conto della natura, dell’ambito, del contesto e delle finalità dei trattamenti stessi.
Non è necessario condurre una DPIA per quei trattamenti che siano stati oggetto di verifica preliminare da parte di un’autorità di controllo o da un responsabile della protezione dei dati(*) e che proseguano con le stesse modalità oggetto di tale verifica. Come indicato nel considerando 171, “Le decisioni della Commissione e le autorizzazioni delle autorità di controllo basate sulla direttiva 95/46/CE rimangono in vigore fino a quando non vengono modificate, sostituite o abrogate”.
Viceversa, ciò significa che tutti i trattamenti le cui caratteristiche attuative (ambito, finalità, dati personali raccolti, identità di titolari o destinatari, periodi di conservazione dei dati, misure tecniche e organizzative, ecc.) sono mutate rispetto alla valutazione preliminare svolta dall’autorità di controllo o da un responsabile della protezione dei dati(*), e che possono presentare un rischio elevato, dovrebbero essere oggetto di una DPIA. Inoltre, la necessità di una DPIA potrebbe insorgere al modificarsi dei rischi derivanti dai trattamenti, per esempio a causa del ricorso a una nuova tecnologia oppure dell’utilizzo dei dati personali per una diversa finalità.
I trattamenti tendono a evolvere rapidamente e possono facilmente presentarsi nuove vulnerabilità; pertanto, occorre osservare che la revisione di una DPIA non è soltanto utile ai fini del miglioramento continuo, ma è anche indispensabile per mantenere inalterato il livello di protezione dei dati al mutare delle condizioni nel tempo.
Una DPIA può rendersi necessaria per il mutamento del contesto organizzativo o sociale relativo a uno specifico trattamento; è il caso, per esempio, degli effetti prodotti da decisioni automatizzate, che possono acquistare maggiore significatività, oppure del presentarsi di nuove categorie di interessati vulnerabili alla discriminazione. Ciascuno di tali esempi potrebbe costituire un elemento in grado di modificare il rischio derivante dallo specifico trattamento.
Peraltro, alcune variazioni potrebbero dare luogo di fatto a una diminuzione del rischio. Per esempio, un trattamento potrebbe evolvere nel senso di non comportare più decisioni automatizzate, oppure un’attività di monitoraggio potrebbe cessare di essere sistematica. In tal caso, il riesame dell’analisi dei rischi precedentemente condotta può indicare che non sussiste più la necessità di condurre una DPIA.
In termini di buone prassi, per i trattamenti in corso dovrebbe essere previsto un riesame continuo della DPIA, ripetendo la valutazione a intervalli regolari. Pertanto, anche qualora non vi sia l’obbligo di condurre una DPIA al 25 maggio 2018, sarà necessario che il titolare, al momento opportuno, conduca tale DPIA nel quadro degli obblighi più generali di responsabilizzazione cui ogni titolare soggiace.
