1. Quando un tipo di trattamento, considerati la natura, l'oggetto, il contesto e le finalità del trattamento e l’utilizzo di nuove tecnologie, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Responsabile interno effettua, prima di procedere al trattamento, la valutazione dell'impatto sulla protezione dei dati personali. Il RPD  fornisce, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e ne sorveglia lo svolgimento ai sensi dell’art. 35 del Regolamento UE.

2. È possibile condurre una singola valutazione di impatto per un insieme di trattamenti simili che presentano rischi elevati analoghi.

3. La valutazione d'impatto sulla protezione dei dati è obbligatoria nei casi seguenti:

a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;

b) il trattamento, su larga scala, di categorie particolari di dati personali quali: l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché il trattamento di dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, dati relativi a condanne penali e a reati;

c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico (videosorveglianza);

4. Il Responsabile interno o suo referente si consulta con il RPD anche per assumere la decisione di effettuare o meno la valutazione d’impatto. Tale consultazione e le conseguenti decisioni assunte dal Responsabile interno o suo referente devono essere documentate nell’ambito della valutazione d’impatto. Il Responsabile interno o suo referente è tenuto a documentare le motivazioni nel caso adotti condotte difformi da quelle raccomandate dal RPD.

5. Il Responsabile per la transizione digitale fornisce supporto al RPD per lo svolgimento della valutazione di impatto privacy.

6. L’Università, per il tramite del RPD, consulta il Garante per la Protezione dei dati personali prima di procedere al trattamento se le risultanze della valutazione di impatto (DPIA) condotta indicano l’esistenza di un rischio residuale elevato.

7. L’Università, per il tramite del RPD, consulta il Garante per la Protezione dei dati personali anche nei casi in cui la vigente legislazione stabilisce l’obbligo di consultare e/o ottenere la previa autorizzazione della medesima autorità, per trattamenti svolti per l’esecuzione di compiti di interesse pubblico, fra cui i trattamenti connessi alla protezione sociale ed alla sanità pubblica. In particolare, la consultazione è obbligatoria ove non sia necessario il consenso per il trattamento dei dati relativi alla salute, a fini di ricerca scientifica in campo medico, biomedico o epidemiologico.