1. Il responsabile del trattamento o l’incaricato del trattamento, a seconda del caso, che adotti le clausole contrattuali di cui all’articolo 42, paragrafo 2, lettera d), o non offra garanzie adeguate in uno strumento giuridicamente vincolante ai sensi dell’articolo 42, paragrafo 5, per il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, prima di procedere al trattamento dei dati personali ottiene l’autorizzazione dell’autorità di controllo al fine di garantire la conformità del trattamento previsto al presente regolamento e, in particolare, attenuare i rischi per gli interessati.
2. Il responsabile del trattamento, o l’incaricato del trattamento che agisce per conto del responsabile del trattamento, prima di procedere al trattamento dei dati personali consulta l’autorità di controllo al fine di garantire la conformità del trattamento previsto al presente regolamento e, in particolare, attenuare i rischi per gli interessati qualora:
3. Se ritiene che il trattamento previsto non sia conforme al presente regolamento, in particolare qualora i rischi non siano sufficientemente identificati o attenuati, l’autorità di controllo vieta il trattamento previsto e presenta opportune proposte per ovviare al difetto di conformità.
4. L’autorità di controllo redige e rende pubblico un elenco dei trattamenti soggetti a consultazione preventiva ai sensi del paragrafo 2, lettera b). L’autorità di controllo comunica tali elenchi al comitato europeo per la protezione dei dati.
5. Se l’elenco di cui al paragrafo 4 comprende attività di trattamento finalizzate all’offerta di beni o servizi a interessati in più Stati membri o al controllo del loro comportamento, o attività di trattamento che possono incidere significativamente sulla libera circolazione dei dati personali all’interno dell’Unione, l’autorità di controllo; prima di adottare tale elenco, applica il meccanismo di coerenza di cui all’articolo 57.
6. Il responsabile del trattamento o l’incaricato del trattamento trasmette all’autorità di controllo la valutazione d’impatto sulla protezione dei dati di cui all’articolo 33 e, se richiesta, ogni altra informazione al fine di consentire all’autorità di controllo di effettuare una valutazione della conformità del trattamento, in particolare dei rischi per la protezione dei dati personali dell’interessato e delle relative garanzie.
7. Quando elaborano un atto legislativo che deve essere adottato dai parlamenti nazionali o una misura basata su un atto di questo tipo, in cui venga definita la natura del trattamento, gli Stati membri consultano l’autorità di controllo per garantire la conformità del trattamento previsto al presente regolamento e, in particolare, attenuare i rischi per gli interessati.
8. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti per determinare l’alto grado di rischi specifici di cui al paragrafo 2, lettera a).
9. La Commissione può stabilire moduli standard e procedure per l’autorizzazione preventiva e la consultazione preventiva di cui ai paragrafi 1 e 2, e per l’informativa all’autorità di controllo ai sensi del paragrafo 6. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.