L’art. 35 del GDPR al n. 1 precisa che “Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali”.

La valutazione di impatto o DPIA in ottica GDPR, si traduce sostanzialmente nell’individuazione delle probabilità del verificarsi di possibili minacce per i diversi trattamenti dei dati personali da parte dell’organizzazione.
L’attenzione va focalizzata soprattutto sulle categorie particolari di dati, unitamente ai dati relativi alle condanne penali e reati(art. 9 e 10) e il modo in cui si usano, come, per esempio i trattamenti su larga scala e di profilazione e le relative misure di sicurezza, in caso di utilizzo nel trattamento di nuove tecnologie (Big Data, IoT, IA ecc.).