Théoriquement mené par un responsable de traitement, un PIA a pour objectif de construire et de démontrer la mise en œuvre des principes de protection de la vie privée afin que les personnes concernées conservent la maîtrise de leurs données à caractère personnel.
Pour avoir une vue d'ensemble de l'obligation de PIA GDPR, il faut regarder les lignes directrices du G29.
Le PIA RGPD est ainsi obligatoire pour les traitements qui remplissent deux des critères suivants : Evaluation ou scoring, par exemple étude de marché ou profilage.
Ces trois termes désignent exactement la même chose bien que ce soit le terme de PIA qui est le plus utilisé.
Un PIA est une analyse de risque que le responsable de traitement est tenu de réaliser lorsqu'il existe un risque élevé pour les droits et libertés des personnes concernées (article 35 RGPD).