La Circolare, che richiama espressamente le Linee guida in materia di valutazione d’impatto sulla protezione dei dati del WP29 e il provvedimento del Garante relativo ai trattamenti soggetti al requisito di una DPIA ai sensi dell’art. 35, par. 4, del GDPR, fornisce indicazioni sulle caratteristiche della DPIA e su quando la stessa vada effettuata.
Con la Circolare, inoltre, viene chiarito il ruolo del DPO in relazione alla DPIA con la precisazione che il parere richiestogli ex art. 35, par. 2, è da ritenersi non vincolante, potendosi il Titolare discostare dalle indicazioni ricevute. In tale evenienza, il DPO conserva il potere di sorveglianza che l’art. 39, par. 1, lett. b) gli riconosce.
Infine, per semplificare il dialogo cooperativo tra Titolare e DPO, alla Circolare si trovano allegati tre modelli:
- Richiesta del parere al responsabile per la protezione dei dati personali;
- Valutazione d’impatto;
- Comunicazione degli aggiornamenti al responsabile per la protezione dei dati personali.
La Circolare è disponibile a questo link.