sono trattati per adottare decisioni riguardanti determinate persone fisiche in seguito a una valutazione
sistematica e globale di aspetti personali relativi alle persone fisiche, basata sulla profilazione di tali dati, o in
seguito al trattamento di categorie particolari di dati personali, dati biometrici o dati relativi a condanne penali e
reati o a connesse misure di sicurezza. Una valutazione d'impatto sulla protezione dei dati è altresì richiesta per la
sorveglianza di zone accessibili al pubblico su larga scala, in particolare se effettuata mediante dispositivi optoelet
tronici, o per altri trattamenti che l'autorità di controllo competente ritiene possano presentare un rischio elevato
per i diritti e le libertà degli interessati, specialmente perché impediscono a questi ultimi di esercitare un diritto o
di avvalersi di un servizio o di un contratto, oppure perché sono effettuati sistematicamente su larga scala. Il
trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati
personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato. In tali casi non
dovrebbe essere obbligatorio procedere a una valutazione d'impatto sulla protezione dei dati.
(92) Vi sono circostanze in cui può essere ragionevole ed economico effettuare una valutazione d'impatto sulla
protezione dei dati che verta su un oggetto più ampio di un unico progetto, per esempio quando autorità
pubbliche o enti pubblici intendono istituire un'applicazione o una piattaforma di trattamento comuni o quando
diversi titolari del trattamento progettano di introdurre un'applicazione o un ambiente di trattamento comuni in
un settore o segmento industriale o per una attività trasversale ampiamente utilizzata.
(93) In vista dell'adozione della legge degli Stati membri che disciplina i compiti dell'autorità pubblica o dell'organismo
pubblico e lo specifico trattamento o insieme di trattamenti, gli Stati membri possono ritenere necessario
effettuare tale valutazione prima di procedere alle attività di trattamento.
(94) Se dalla valutazione d'impatto sulla protezione dei dati risulta che il trattamento, in mancanza delle garanzie,
delle misure di sicurezza e dei meccanismi per attenuare il rischio, presenterebbe un rischio elevato per i diritti e
le libertà delle persone fisiche e il titolare del trattamento è del parere che il rischio non possa essere ragione
volmente attenuato in termini di tecnologie disponibili e costi di attuazione, è opportuno consultare l'autorità di
controllo prima dell'inizio delle attività di trattamento. Tale rischio elevato potrebbe scaturire da certi tipi di
trattamento e dall'estensione e frequenza del trattamento, da cui potrebbe derivare altresì un danno o un'inter
ferenza con i diritti e le libertà della persona fisica. L'autorità di controllo che riceve una richiesta di consultazione
dovrebbe darvi seguito entro un termine determinato. Tuttavia, la mancanza di reazione dell'autorità di controllo
entro tale termine dovrebbe far salvo ogni intervento della stessa nell'ambito dei suoi compiti e poteri previsti dal
presente regolamento, compreso il potere di vietare i trattamenti. Nell'ambito di tale processo di consultazione,
può essere presentato all'autorità di controllo il risultato di una valutazione d'impatto sulla protezione dei dati
effettuata riguardo al trattamento in questione, in particolare le misure previste per attenuare il rischio per i diritti
e le libertà delle persone fisiche.
(95) Il responsabile del trattamento, se necessario e su richiesta, dovrebbe assistere il titolare del trattamento nel
garantire il rispetto degli obblighi derivanti dallo svolgimento di una valutazione d'impatto sulla protezione dei
dati e dalla previa consultazione dell'autorità di controllo.
(96) L'autorità di controllo dovrebbe essere altresì consultata durante l'elaborazione di una misura legislativa o regola
mentare che prevede il trattamento di dati personali al fine di garantire che il trattamento previsto rispetti il
presente regolamento e, in particolare, che si attenui il rischio per l'interessato.
(97) Per i trattamenti effettuati da un'autorità pubblica, eccettuate le autorità giurisdizionali o autorità giudiziarie
indipendenti quando esercitano le loro funzioni giurisdizionali, o per i trattamenti effettuati nel settore privato da
un titolare del trattamento le cui attività principali consistono in trattamenti che richiedono un monitoraggio
regolare e sistematico degli interessati su larga scala, o ove le attività principali del titolare del trattamento o del
responsabile del trattamento consistano nel trattamento su larga scala di categorie particolari di dati personali e
di dati relativi alle condanne penali e ai reati, il titolare del trattamento o il responsabile del trattamento dovrebbe
essere assistito da una persona che abbia una conoscenza specialistica della normativa e delle pratiche in materia
di protezione dei dati nel controllo del rispetto a livello interno del presente regolamento. Nel settore privato le
attività principali del titolare del trattamento riguardano le sue attività primarie ed esulano dal trattamento dei
dati personali come attività accessoria. Il livello necessario di conoscenza specialistica dovrebbe essere
4.5.2016
L 119/18
Gazzetta ufficiale dell'Unione europea
IT