Adottate dalle Autorità di protezione dati europee riunite nel Gruppo di lavoro ex art.29 le Linee guida che aiuteranno amministrazioni pubbliche e imprese nella valutazione di impatto sulla protezione dei dati (DPIA, Data Protection Impact Assessment).
La DPIA, introdotta dal Regolamento europeo 2016/679, consiste in una procedura finalizzata a descrivere il trattamento dei dati, valutarne necessità e proporzionalità e facilitare la gestione dei rischi per i diritti e le libertà delle persone fisiche. La DPIA è uno strumento importante: aiuta il titolare non soltanto a rispettare le prescrizioni del Regolamento europeo, ma anche a dimostrare l´adozione di misure idonee a garantirne il rispetto. In altri termini, la DPIA è una procedura che permette al titolare di realizzare e dimostrare la conformità del trattamento alle norme. Non è obbligatorio condurre una DPIA per ogni singolo trattamento. Essa è però necessaria se il trattamento "può presentare un rischio elevato per i diritti e le libertà delle persone fisiche". È possibile utilizzare un´unica DPIA per valutare più trattamenti che presentino delle analogie (ad es. un gruppo di autorità locali che decidano di installare ciascuna un analogo sistema di videosorveglianza). E una analisi di impatto privacy può essere utile anche per valutare l´effetto di un nuovo dispositivo tecnologico. In ogni caso, a prescindere dalla sua obbligatorietà, la DPIA rappresenta sempre una buona prassi per Pa e imprese.
Per assicurare un´interpretazione uniforme dei casi in cui la DPIA è obbligatoria, i Garanti Ue hanno fornito anche alcuni criteri in vista dell´elaborazione degli elenchi dei trattamenti più rischiosi che le Autorità di controllo sono tenute ad adottare (ad es., trattamenti valutativi, compresi lo scoring e la profilazione; decisioni automatizzate dalle quali possono derivare discriminazioni per gli interessati; monitoraggio sistematico; trattamenti su larga scala, in particolare di dati sensibili).
L´inosservanza degli obblighi concernenti la DPIA può comportare l´imposizione di sanzioni pecuniarie da parte delle Autorità garanti. Il mancato svolgimento dell´analisi (quando il trattamento è soggetto a tale valutazione), lo svolgimento non corretto o la mancata consultazione dell´Autorità di controllo competente ove ciò sia necessario, possono comportare l´applicazione di una sanzione amministrativa fino a un massimo di 10 milioni di euro e, se si tratta di un´impresa, fino al 2% del fatturato globale annuo.