ARGOMENTO:

Per risolvere effettivamente il quesito mi permetto di suggerirle di dare una attenta lettura alle linee guida del famoso “Gruppo art. 29” proprio in materia di valutazione di impatto sulla protezione dei dati (documento in rev 01 del 04.10.2017, scaricabile dal sito istituzionale del Garante).
Dalla disamina, in particolare, del capitolo III/A, si comprende come sia ipotizzabile, ragionevolmente, una unica valutazione di impatto, per esempio, nel caso in cui siano eseguiti diversi trattamenti simili tra loro in termini di natura, ambito di applicazione, contesto, finalità e rischi o anche nell'ipotesi in cui si utilizzino tecnologie analoghe per raccogliere le stesse tipologie di dati per le medesime finalità del trattamento.
Una volta compresa la logica sottesa ai criteri delineati nelle linee guida, anche qui l'interprete è necessariamente rinviato ad una scrupolosa analisi delle concrete fattispecie, onde stabilire se i diversi trattamenti in questione si prestino o meno ad essere oggetto di una, o magari di alcune, o addirittura di tante DPIA quanti sono i trattamenti stessi.

Posto che l'art. 35 del GDPR richiede di fare una valutazione d'impatto per ogni trattamento che comporta "l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche", vorrei sapere se è possibile fare un unico documento PIA che contenga tutte le valutazioni d'impatto dei trattamenti effettuati dall'azienda, oppure si devono necessariamente redigere documenti distinti per ciascun singolo trattamento.

Sabrina