Sul GDPR (Regolamento europeo sulla privacy) non è prevista la “notificazione al Garante” di alcuni trattamenti, prevista dalla precedente Direttiva 95/46/CE.
In effetti, la notificazione risulta un concetto superato ed è sostituito con la Valutazione d’impatto sulla protezione dei dati o Data protection impact assessment (spesso anche indicata con i termini privacy impact assessment o PIA).
Infatti, nei considerando del Regolamento (dall’89) si legge che la notificazione “non ha sempre contribuito a migliorare la protezione dei dati personali”.
A questo punto, quindi, i titolari saranno tenuti ad effettuare delle PIA per i trattamenti più critici e, nel caso dovessero rilevare rischi molto elevati, chiedere di propria iniziativa un parare al Garante (supervisory authority).
Ciascun Stato, infine, potrà chiedere che alcuni trattamenti non siano attivati senza il parere favorevole del Garante.
Ringrazio Pierfrancesco Maistrello di Vecomp, perché è lui che mi ha fornito la risposta al mio dubbio.