Una DPIA consiste in una procedura finalizzata a descrivere il trattamento, valutarne necessità e proporzionalità, e facilitare la gestione dei rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento dei loro dati personali (attraverso la valutazione di tali rischi e la
definizione delle misure idonee ad affrontarli).

Si tratta di uno degli elementi di maggiore rilevanza nel nuovo quadro normativo, perché esprime chiaramente la responsabilizzazione (accountability) dei titolari nei confronti dei trattamenti effettuati sui dati personali e suoi dati di comportamento. I titolari sono infatti tenuti non soltanto a garantire l’osservanza delle disposizioni del regolamento, ma anche a dimostrare adeguatamente in che modo garantiscono tale osservanza; la valutazione di impatto ne è un esempio.

La DPIA dovrebbe essere condotta “prima di procedere al trattamento”.

Il regolamento fissa le caratteristiche basilari di una DPIA:

• una descrizione dei trattamenti previsti e delle finalità del trattamento;
• una valutazione della necessità e proporzionalità dei trattamenti;
• una valutazione dei rischi per i diritti e le libertà degli interessati;
• le misure previste per: affrontare i rischi e/o dimostrare la conformità al regolamento europeo.