Il regolamento non definisce cosa rappresenti un trattamento “su larga scala”. Il Gruppo di lavoro raccomanda di tenere conto, in particolare, dei fattori qui elencati al fine di stabilire se un trattamento sia effettuato su larga scala:
· il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
· il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
· la durata, ovvero la persistenza, dell’attività di trattamento;
· la portata geografica dell’attività di trattamento.

Alcuni esempi di trattamento su larga scala sono i seguenti:
· trattamento di dati relativi a pazienti svolto da un ospedale nell’ambito delle ordinarie attività;
· trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio);
· trattamento di dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food;
· trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività;
· trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale;
· trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici.

Alcuni esempi di trattamento non su larga scala sono i seguenti:
· trattamento di dati relativi a pazienti svolto da un singolo professionista sanitario;
· trattamento di dati personali relativi a condanne penali e reati svolto da un singolo avvocato.

Il concetto di monitoraggio regolare e sistematico degli interessati non trova definizione all’interno del RGPD; tuttavia, esso comprende senza dubbio tutte le forme di tracciamento e profilazione su Internet anche per finalità di pubblicità comportamentale. Non si tratta, però, di un concetto riferito esclusivamente all’ambiente online.
Alcune esemplificazioni di attività che possono configurare un monitoraggio regolare e sistematico di interessati: curare il funzionamento di una rete di telecomunicazioni; la prestazione di servizi di telecomunicazioni; il reindirizzamento di messaggi di posta elettronica; attività di marketing basate sull’analisi dei dati raccolti; profilazione e scoring per finalità di valutazione del rischio (per esempio, a fini di valutazione del rischio creditizio, definizione dei premi assicurativi, prevenzione delle frodi, accertamento di forme di riciclaggio); tracciamento dell’ubicazione, per esempio da parte di app su dispositivi mobili; programmi di fidelizzazione; pubblicità comportamentale; monitoraggio di dati relativi allo stato di benessere psicofisico, alla forma fisica e alla salute attraverso dispositivi indossabili; utilizzo di telecamere a circuito chiuso; dispositivi connessi quali contatori intelligenti, automobili intelligenti, dispositivi per la domotica, ecc.

L’aggettivo “regolare” ha almeno uno dei seguenti significati a giudizio del Gruppo di lavoro:
· che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito;
· ricorrente o ripetuto a intervalli costanti;
· che avviene in modo costante o a intervalli periodici.

L’aggettivo “sistematico” ha almeno uno dei seguenti significati a giudizio del Gruppo di lavoro:
· che avviene per sistema;
· predeterminato, organizzato o metodico;
· che ha luogo nell’ambito di un progetto complessivo di raccolta di dati;
· svolto nell’ambito di una strategia.

Con “attività principali” si possono intendere le operazioni essenziali che sono necessarie al raggiungimento degli obiettivi perseguiti dal titolare del trattamento o dal responsabile del trattamento, comprese tutte quelle attività per le quali il trattamento dei dati è inscindibilmente connesso all’attività del titolare del trattamento o del responsabile del trattamento. Per esempio, il trattamento di dati relativi alla salute (come le cartelle sanitarie dei pazienti) è da ritenersi una delle attività principali di qualsiasi ospedale; ne deriva che tutti gli ospedali dovranno designare un RPD.
D’altra parte, tutti gli organismi (pubblici e privati) svolgono determinate attività quali il pagamento delle retribuzioni al personale ovvero dispongono di strutture standard di supporto informatico. Si tratta di esempi di funzioni di supporto necessarie ai fini dell’attività principale o dell’oggetto principale del singolo organismo, ma pur essendo necessarie o perfino essenziali sono considerate solitamente di natura accessoria e non vengono annoverate fra le attività principali.

a) una valutazione sistematica e ampia degli aspetti personali riguardanti le persone fisiche basata su un trattamento automatizzato, compresa la profilazione, e su cui si fondano le decisioni che producono effetti giuridici sulla persona fisica o che in modo analogo influenzano in modo significativo la persona fisica;
b) elaborazione su larga scala di particolari categorie di dati di cui all’articolo 9, paragrafo 1, o di dati personali relativi a reati penali e reati di cui all’articolo 10; oppure 
c) un monitoraggio sistematico di un’area accessibile al pubblico su vasta scala.

Come indicano le parole “in particolare” nella frase introduttiva dell’articolo 35, paragrafo 3 del Regolamento, questa lista non è intesa come esaustiva. Ci possono essere operazioni di trattamento “ad alto rischio” che non sono elencate in questa lista ma presentano tuttavia rischi altrettanto elevati. Queste operazioni di trattamento dovrebbero anch’esse essere soggette alle DPIA.

Per questo motivo, normalmente il titolare dovrà effettuare la DPIA se un trattamento soddisfa almeno due dei criteri sotto riportati.
Tuttavia, in alcuni casi, il titolare di dati può ritenere che un trattamento che soddisfi anche uno solo di questi criteri richiede la DPIA.

1. Valutazione o assegnazione di un punteggio, inclusa la profilazione e la previsione, in particolare di “aspetti riguardanti le prestazioni del soggetto interessato sul lavoro, situazione economica, salute, preferenze o interessi personali, affidabilità o comportamento, posizione o movimenti” (considerando 71 e 91).
   Un esempio potrebbe essere un istituto bancario che scremi i propri clienti tramite una banca dati di riferimento del credito, o di una società di biotecnologie che offre test genetici direttamente ai consumatori al fine di valutare e prevedere i rischi di malattia / salute, o ancora una società di costruzione di profili comportamentali o di marketing in base all’utilizzo o alla navigazione su siti web.
2. Decisioni automatizzate con significativi effetti legali o simili: trattamento che mira a prendere decisioni su soggetti interessati, le quali producono “effetti giuridici sulla persona fisica” o “influenzano in modo significativo la persona fisica” (articolo 35, paragrafo 3, lettera a).
   Ad esempio quando il trattamento possa comportare l’esclusione o la discriminazione di singoli.
3. Monitoraggio sistematico: trattamento utilizzato per osservare, monitorare o controllare i soggetti interessati, compresi i dati raccolti tramite reti o “un monitoraggio sistematico di una zona accessibile al pubblico” (articolo 35, paragrafo 3, lettera c). Questo tipo di monitoraggio è un criterio in quanto i dati personali possono essere raccolti in circostanze in cui gli interessati potrebbero non essere a conoscenza di chi raccoglie i propri dati e di come saranno utilizzati. Inoltre, può essere impossibile per gli individui evitare di essere sottoposti a tale elaborazione in spazi pubblici (o pubblicamente accessibili).
4. Dati sensibili o dati di carattere altamente personale: comprendono categorie speciali di dati personali come definiti all’articolo 9 (ad esempio informazioni sulle opinioni politiche degli individui), nonché dati personali relativi a sentenze penali o reati di cui all’articolo 10. Un esempio potrebbe essere un ospedale generale che conserva i documenti medici dei pazienti o un investigatore privato che tiene in memora dettagli dei reati commessi dalle persone osservate. Al di là di queste disposizioni del GDPR, alcune categorie di dati possono aumentare il rischio possibile per i diritti e le libertà degli individui.
5. I dati elaborati su vasta scala: il GDPR non definisce ciò che si intende con ‘vasta scala’, anche se il considerando 91 fornisce alcune indicazioni. In ogni caso, la WP29 raccomanda di considerare in particolare i seguenti fattori per determinare se il trattamento viene eseguito su larga scala: il numero di soggetti interessati in questione, sia come numero specifico, sia come percentuale della popolazione rilevante il volume dei dati e/o l’intervallo di diversi tipi di dati in fase di elaborazione; la durata o la permanenza dell’attività di trattamento dei dati; l’estensione geografica dell’attività di trattamento.
6. Corrispondenza o combinazione di set di dati, ad esempio derivanti da due o più operazioni di trattamento, eseguite per scopi diversi e/o da titolari di dati diversi in modo da andare oltre le ragionevoli aspettative del soggetto
7. Dati relativi a soggetti vulnerabili (considerando 75): il trattamento di questo tipo di dati rientra tra i criteri a causa dell’aumento dello squilibrio di potere tra i soggetti interessati e il titolare del trattamento, il che significa che gli individui possono non essere in grado di consentire o opporsi facilmente al trattamento dei propri dati o di esercitare i propri diritti. I soggetti vulnerabili possono includere i bambini (si può considerare che non siano in grado di opporsi in modo consapevole e ponderato al trattamento dei loro dati), dipendenti o ancora soggetti più vulnerabili della popolazione che richiedano protezione speciale (persone con malattie mentali, richiedenti asilo, anziani, pazienti, ecc.) e tutti quei casi in cui sia possibile identificare uno squilibrio nella relazione tra la posizione del soggetto e quella del titolare.
8. Uso innovativo o applicazione di nuove soluzioni tecnologiche o organizzative, come combinare l’uso del riconoscimento facciale e delle impronte digitali per un miglior controllo fisico degli accessi, ecc. Il GDPR chiarisce (articolo 35, paragrafo 1, e considerando 89 e 91) che l’uso di una nuova tecnologia, definita “conforme allo stato raggiunto dalla conoscenza tecnologica” (considerando 91), può comportare la necessità di eseguire una DPIA. Questo perché l’utilizzo di tale tecnologia può includere nuove forme di raccolta e utilizzo di dati, potenzialmente con un elevato rischio per i diritti e le libertà degli individui. Infatti, le conseguenze personali e sociali della diffusione di una nuova tecnologia potrebbero essere sconosciute. Una DPIA aiuterà il titolare dei dati a capire e affrontare tali rischi. Ad esempio, alcune applicazioni dell”Internet delle cose (Internet of things, IoT)” potrebbero avere un impatto significativo sulla vita quotidiana degli individui e sulla privacy; e quindi richiedono una DPIA.
9. Quando il trattamento in sé “impedisce agli interessati di esercitare un diritto o di usufruire di un servizio o un contratto” (articolo 22 e considerando 91). Ciò include operazioni di trattamento che mirano a consentire, modificare o rifiutare l’accesso dei soggetti dati a un servizio o alla stipula di un contratto. Ad esempio quando una banca filtra i dati dei propri clienti su un database di riferimento di credito per decidere se concedere loro un prestito.