Nelle Linee guida, la nozione di contesto del trattamento viene in considerazione nell'Allegato 2 con riferimento ai criteri che i titolari del trattamento possono utilizzare:

• per stabilire se sia richiesta una valutazione d'impatto sulla protezione dei dati o meno;

oppure

• per stabilire se una metodologia per lo svolgimento di una tale valutazione sia sufficientemente completa per garantire il rispetto del regolamento generale sulla protezione dei dati.

In particolare, tale criterio viene in considerazione per la descrizione sistematica del trattamento.

Si tratta del:

a) contesto interno dove il trattamento viene effettuato tenendo conto di:

• atti di programmazione e pianificazione generale dell'Ente;

• disposizioni e atti generali (direttive, circolari, programmi e istruzioni);

• organizzazione e articolazione degli uffici (organigramma e funzionigramma);

• mappatura dell'attivita' (processi e procedimenti);

• inventario dei beni (mobili e immobili) e mappatura delle risorse strumentali;

• elenco di consulenti e collaboratori;

• atti e provvedimenti degli organi di indirizzo e gestionali;

• catalogo di dati, metadati, banche dati;

• disciplina particolare dell'attivita' oggetto di trattamento, inclusa la Lex specialis.

b) contesto esterno: il trattamento degli enti, aziende e istituzioni tiene conto delle garanzie e tutele prescritte dal titolare.

Si ricorda, inoltre, che l’obbligo di svolgere una valutazione d'impatto sulla protezione dei dati si applica alle operazioni di trattamento esistenti che possono presentare un rischio elevato per i diritti e le liberta' delle persone fisiche e per le quali vi e' stata una variazione dei rischi, tenendo conto:

• della natura;

• dell'ambito di applicazione;

• del contesto;

• delle finalita' del trattamento.