Articolo 22 Valutazione d’impatto sulla protezione dei dati

¹ Il titolare del trattamento effettua pre­via­mente una valutazione d’impatto sulla protezione dei dati quando il trattamento dei dati personali può comportare un rischio elevato per la personalità o i diritti fondamentali della persona interessata. Se prevede più operazioni di trattamento simili può procedere a una valutazione d’im­patto comune.

² Il rischio elevato, in particolare in caso di utilizzazione di nuove tecnologie, risulta dal tipo, dall’entità, dalle circostanze e dallo scopo del trattamento. Sussiste segnatamente nel caso di:

1. trattamento su grande scala di dati personali degni di particolare protezione;
2. sorveglianza sistematica di ampi spazi pubblici.

³ La valutazione d’impatto sulla protezione dei dati contiene una descrizione del trattamento previsto, una valutazione dei rischi per la personalità o per i diritti fonda­mentali della persona interessata nonché i provvedimenti a loro tutela.

⁴ Il titolare privato tenuto a effettuare il trattamento in virtù di un obbligo legale è esentato dall’obbligo di procedere a una valutazione d’impatto.

⁵ Il titolare privato del trattamento può rinunciare a una valutazione d’impatto se si avvale di un sistema, un prodotto o un servizio che dispone di una certificazione secondo l’articolo 13 per l’impiego previsto o se rispetta un codice di condotta se­condo l’articolo 11 che:#

1. si basa su una valutazione d’impatto sulla protezione dei dati;
2. prevede misure a tutela della personalità e dei diritti fondamentali della persona interessata; e
3. è stato sottoposto all’IFPDT.