DPIA: cos'è e quando è obbligatoria la valutazione d'impatto

DPIA: cos'è e quando è obbligatoria la valutazione d'impatto

Cos'è la DPIA, perché va svolta prima di iniziare il trattamento, quando è obbligatoria (art. 35 GDPR e criteri WP29), chi la redige (non il DPO), cosa deve contenere e come si valuta il rischio: fonti, gravità, probabilità e matrice del rischio.

In breve — La DPIA (valutazione d’impatto sulla protezione dei dati) è un’analisi preventiva dei rischi derivanti da un trattamento di dati personali: il documento con cui il titolare progetta consapevolmente il trattamento, ne valuta in anticipo i rischi e predispone per tempo le misure di sicurezza, così che la raccolta dei dati avvenga fin da subito nel rispetto del GDPR (art. 35). Va svolta prima di iniziare il trattamento — non a cose fatte — ed è obbligatoria, tra l’altro, per la videosorveglianza urbana, la geolocalizzazione sistematica e i trattamenti su larga scala di dati delicati. La redige il titolare, eventualmente con un consulente esterno: non il DPO, che rende un parere. Avviare un trattamento a rischio senza DPIA è sanzionabile fino a 10 milioni di euro o al 2% del fatturato.

1. Che cos’è la DPIA

La DPIA — Data Protection Impact Assessment, in italiano valutazione d’impatto sulla protezione dei dati — è un’analisi preventiva dei rischi derivanti da un trattamento di dati personali. Non è altro che un documento che serve al titolare per progettare consapevolmente il trattamento: descrivere che cosa intende fare e perché, valutare in anticipo i rischi per le persone coinvolte e predisporre per tempo le misure di sicurezza necessarie a proteggerne i dati, in modo che la raccolta avvenga fin da subito nel rispetto del GDPR.

La norma · Art. 35, par. 1, GDPR

Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali.

La logica è quella dell’accountability che attraversa tutto il GDPR: è il titolare del trattamento a dover individuare i rischi e scegliere le misure, documentando le proprie scelte in modo da poterle dimostrare al Garante. La DPIA è lo strumento principale con cui questa responsabilizzazione prende forma.

2. Quando va svolta: prima di iniziare, non a cose fatte

C’è un equivoco che incontriamo di continuo. Veniamo contattati per redigere DPIA in materia di videosorveglianza comunale, di GPS sui parchi mezzi, di dati sanitari — e quasi sempre la richiesta arriva a impianto già installato, a trattamento già avviato. Ma la DPIA è, per definizione, il primo atto: l’art. 35 impone di svolgerla prima di procedere al trattamento, non di documentarlo a posteriori.

La ragione è semplice: la DPIA serve a dare al titolare consapevolezza. È come il progetto di una casa — si disegna prima di costruire, perché è sul progetto che si vedono i problemi quando correggerli costa poco. Una valutazione preventiva orienta le scelte su tecnologie, ubicazioni, tempi di conservazione e misure prima che diventino vincoli.

Detto questo, la DPIA conserva tutto il suo valore anche quando il trattamento è già in corso: è lo strumento con cui rimediare a carenze organizzative, ricondurre a conformità trattamenti avviati senza le dovute cautele e dimostrare al Garante la diligenza del titolare. Meglio tardi che mai — e svolgerla bene, anche dopo, mette in sicurezza ciò che prima era esposto.

La DPIA, infine, non si fa una volta sola. È un processo continuo: va aggiornata ogni volta che il trattamento cambia — nuove tecnologie, nuove finalità, un ampliamento del perimetro, come nuove telecamere aggiunte a un impianto esistente.

3. Quando la DPIA è obbligatoria

La regola generale: la DPIA è obbligatoria ogni volta che il trattamento può presentare un rischio elevato per i diritti e le libertà delle persone. In tre ipotesi l’obbligo è espresso dalla norma (art. 35, par. 3); il Garante e il WP29 (oggi EDPB) hanno poi tradotto la regola in casi concreti. In pratica, la DPIA è obbligatoria per:

L’elenco nazionale completo è nel provvedimento del Garante n. 467/2018. Fuori dai casi tipizzati vale la regola pratica dei nove criteri WP29 (linee guida WP248): se il trattamento ne soddisfa almeno due — per esempio larga scala + dati di soggetti vulnerabili — la DPIA è di norma necessaria. E nel dubbio conviene farla: è essa stessa la prova di aver valutato.

4. Chi la redige: il titolare (non il DPO)

La DPIA è un compito del titolare del trattamento: è lui che decide finalità e mezzi, ed è lui che deve valutarne i rischi — eventualmente facendosi supportare da un consulente esterno con le competenze giuridiche e tecniche necessarie. Vi contribuiscono i responsabili del trattamento coinvolti, che devono assistere il titolare, e le figure tecniche che conoscono i sistemi, come gli amministratori di sistema.

Un errore da evitare — e che il Garante ha già contestato: affidare la redazione della DPIA al DPO. Il DPO deve essere consultato e rende un parere motivato sulla valutazione, vigilandone poi lo svolgimento (art. 35, par. 2, e art. 39): ma proprio per questo non può esserne l’autore. Chi redige il documento non può essere lo stesso soggetto chiamato a valutarlo con occhio indipendente — un conflitto che mina la funzione di controllo del DPO e che espone il titolare a sanzione.

5. Cosa deve contenere la DPIA

Il GDPR non impone un modello, ma fissa un contenuto minimo che nessuna valutazione può saltare (art. 35, par. 7). Vale la pena scorrerlo con ordine, perché disegna il percorso di lavoro.

La DPIA si apre con una descrizione sistematica del trattamento: quali dati si raccolgono e di chi, con quali strumenti, per quale finalità, su quale base giuridica, per quanto tempo, con quali flussi verso terzi. È la fotografia completa che spesso, da sola, fa emergere le prime criticità.

Segue la valutazione di necessità e proporzionalità: il titolare deve dimostrare che il trattamento è davvero necessario rispetto alla finalità — che non si può ottenere lo stesso risultato con meno dati, con tempi più brevi o con mezzi meno invasivi. È il banco di prova della minimizzazione.

Il cuore è la valutazione dei rischi per i diritti e le libertà degli interessati (non per l’organizzazione: il GDPR guarda alle persone), condotta con il metodo che vediamo al paragrafo successivo.

Chiudono le misure previste per affrontare i rischi — tecniche e organizzative — e per dimostrare la conformità al Regolamento: è la parte che trasforma l’analisi in decisioni concrete.

Una precisazione, perché è una ricerca frequente: non esiste un modello ufficiale o un fac-simile di DPIA. Le linee guida WP248 offrono i criteri per una valutazione “accettabile”, ma un modello generico riempito a tavolino non protegge: la DPIA ha valore solo se costruita sul trattamento concreto — i suoi dati, i suoi sistemi, i suoi rischi.

6. Come si valuta il rischio: fonti, gravità, probabilità

È il cuore tecnico della DPIA, e il punto in cui molte valutazioni “di facciata” si fermano. Una valutazione seria parte dalle fonti di rischio, da individuare su due fronti:

Per ciascun rischio rilevante — tipicamente l’accesso illegittimo ai dati, la loro modifica indesiderata e la loro perdita — si stimano poi due grandezze: la probabilità che l’evento accada e la gravità delle conseguenze per le persone.

7. La matrice del rischio

Il metodo più diffuso per rendere misurabile la valutazione è la matrice del rischio: si assegna un valore alla probabilità (P) e uno all’impatto (I), e il livello di rischio è il loro prodotto.

La matrice del rischio · LR = P × I

Probabilità (P): 1 impossibile · 2 improbabile · 3 possibile · 4 probabile

Impatto (I): 1 basso · 2 medio · 3 alto · 4 molto alto

Livello di rischio (LR = P × I): basso (1-4) · medio (6-9) · alto (12-16)

Il valore che conta non è quello iniziale, ma il rischio residuo: il livello che rimane dopo aver applicato le misure previste — cifratura, controllo e registrazione degli accessi, mascheramento, backup, formazione del personale, procedure sui data breach. Se le misure portano il rischio a un livello basso o medio, il trattamento può partire; il percorso di valutazione va comunque documentato, perché è esso stesso la prova della conformità.

8. Se il rischio resta alto: la consultazione del Garante

Può accadere che, nonostante le misure, il rischio residuo resti elevato. In quel caso il titolare non può procedere per conto proprio: deve attivare la consultazione preventiva del Garante (art. 36), trasmettendo la DPIA e le informazioni sul trattamento. L’Autorità, se ritiene che il trattamento violerebbe il Regolamento, fornisce un parere scritto e può esercitare i propri poteri — fino a vietare il trattamento.

È un passaggio raro nella pratica, ma la sua esistenza spiega bene la funzione della DPIA: costringe a fare i conti con i rischi prima, quando si è ancora in tempo a cambiare strada, e non dopo la violazione.

9. Come ti assiste lo Studio Legale Calzoni

La DPIA è il documento su cui si regge la legittimità dei trattamenti più delicati — e quello che il Garante chiede per primo quando qualcosa va storto. Una valutazione generica, copiata o mai aggiornata non protegge: espone.

Lo Studio Legale Calzoni offre consulenza privacy e GDPR a enti pubblici e imprese e redige valutazioni d’impatto complete al fianco del titolare: descrizione dei trattamenti, analisi di necessità e proporzionalità, valutazione dei rischi con metodologia strutturata, individuazione delle misure e aggiornamento nel tempo. Abbiamo un’esperienza specifica sulle DPIA per la videosorveglianza comunale, la geolocalizzazione dei mezzi e i trattamenti della pubblica amministrazione — meglio se prima di partire; e se il trattamento è già avviato, aiutiamo a rimettere le cose in ordine.

Domande frequenti

Cos’è la DPIA? È la valutazione d’impatto sulla protezione dei dati (art. 35 GDPR): un’analisi preventiva dei rischi con cui il titolare progetta consapevolmente un trattamento, ne valuta in anticipo i rischi per le persone e predispone le misure di sicurezza prima di iniziare a raccogliere i dati.

Quando deve essere fatta una valutazione di impatto privacy (DPIA)? Prima di avviare il trattamento — non a cose fatte. È obbligatoria quando il trattamento può presentare un rischio elevato: espressamente nei casi dell’art. 35, par. 3 (profilazione con effetti significativi, larga scala di dati particolari, sorveglianza sistematica di aree pubbliche) e nei casi dell’elenco del Garante (provv. 467/2018); in generale, quando ricorrono almeno due dei nove criteri WP29.

Chi deve redigere la DPIA? Il titolare del trattamento, eventualmente supportato da un consulente esterno, con l’assistenza dei responsabili coinvolti e delle figure tecniche. Non il DPO: il DPO va consultato e rende un parere motivato, ma se redigesse lui la valutazione si troverebbe a controllare sé stesso, in conflitto di interessi.

Il DPO può fare la DPIA? No. Il Garante ha chiarito che il DPO deve essere consultato sulla DPIA e vigilarne lo svolgimento, ma non può esserne l’autore: redigerla e poi valutarla con indipendenza sono ruoli incompatibili. La responsabilità della valutazione resta del titolare.

Cosa deve contenere la DPIA? Almeno: la descrizione sistematica dei trattamenti e delle finalità, la valutazione di necessità e proporzionalità, la valutazione dei rischi per gli interessati e le misure previste per affrontarli e dimostrare la conformità (art. 35, par. 7).

Esiste un modello o un fac-simile di DPIA? No, non esiste un modello ufficiale: il GDPR fissa solo il contenuto minimo e le linee guida WP248 i criteri di accettabilità. Un fac-simile generico non protegge: la valutazione va costruita sul trattamento concreto, sui suoi sistemi e sui suoi rischi.

La DPIA va aggiornata? Sì: è un processo continuo. Va rivista quando cambiano tecnologie, finalità o perimetro del trattamento — per esempio quando si aggiungono telecamere a un impianto di videosorveglianza esistente.

Cosa si rischia senza DPIA? Avviare un trattamento a rischio elevato senza valutazione d’impatto è una violazione autonoma, sanzionabile fino a 10 milioni di euro o al 2% del fatturato mondiale annuo — oltre alle conseguenze sul trattamento stesso, che può essere dichiarato illegittimo.

I contenuti di questa pagina si riferiscono a fattispecie generali e non possono in alcun modo sostituire il contributo di un avvocato. Per ottenere un parere legale in ordine alla questione giuridica che interessa è possibile richiedere una consulenza, oppure fissare un appuntamento. Gli autori declinano ogni responsabilità per errori od omissioni, nonché per un utilizzo improprio o non aggiornato delle presenti informazioni.