El responsable del tratamiento debe realizar una evaluación del impacto sobre la protección de datos cuando exista la probabilidad de que, por su naturaleza, alcance o fines, las operaciones de tratamiento entrañen un alto riesgo para los derechos y las libertades de los interesados; dicha evaluación debe incluir, en particular, las medidas, garantías y mecanismos previstos para garantizar la protección de los datos personales y demostrar la conformidad con la presente Directiva.
A data protection impact assessment should be carried out by the controller where the processing operations are likely to result in a high risk to the rights and freedoms of data subjects by virtue of their nature, scope or purposes, which should include, in particular, the measures, safeguards and mechanisms envisaged to ensure the protection of personal data and to demonstrate compliance with this Directive.