Le Autorità di protezione dati europee hanno adottato le Linee guida utili alla valutazione di impatto sulla protezione dei dati (DPIA, Data Protection Impact Assessment), una buona prassi per Pubbliche Amministrazioni e imprese in vista dell'elaborazione degli elenchi dei trattamenti più rischiosi che le Autorità di controllo sono tenute ad adottare (ad es. trattamenti valutativi, compresi lo scoring e la profilazione; decisioni automatizzate dalle quali possono derivare discriminazioni per gli interessati; monitoraggio sistematico; trattamenti su larga scala, in particolare di dati sensibili).
La DPIA, introdotta dal Regolamento europeo 2016/679, definisce una procedura finalizzata a descrivere il trattamento dei dati, valutarne necessità e proporzionalità e facilitare la gestione dei rischi per i diritti e le libertà delle persone fisiche.
Non è obbligatorio condurre una DPIA per ogni singolo trattamento, a meno che il trattamento non rappresenti potenzialmente un rischio elevato per i diritti e le libertà delle persone fisiche. È possibile utilizzare un'unica DPIA per valutare più trattamenti che presentino delle analogie. A tal fine l’analisi di impatto privacy può essere utile anche per valutare l'effetto di un nuovo dispositivo tecnologico, come accade nel caso dell’adozione di sistemi di videosorveglianza.
Il mancato svolgimento dell'analisi (quando il trattamento è soggetto a tale valutazione), lo svolgimento non corretto o la mancata consultazione dell'Autorità di controllo competente ove ciò sia necessario, possono comportare l'applicazione di una sanzione amministrativa fino a un massimo di 10 milioni di euro e, se si tratta di un'impresa, fino al 2% del fatturato globale annuo.