La Data Protection Impact Assessment — la valutazione d'impatto sulla protezione dei dati prevista dall'art. 35 del GDPR — resta uno degli adempimenti più fraintesi e sistematicamente sottovalutati dell'intero impianto della normativa europea sulla privacy. Non è un documento da compilare a posteriori per mettere al sicuro un trattamento già avviato. È uno strumento di progettazione giuridica preventiva, che condiziona la legittimità stessa del trattamento dei dati. I provvedimenti sanzionatori adottati dal Garante per la Protezione dei Dati Personali negli ultimi mesi lo confermano con crescente chiarezza: omettere la DPIA, redigerla in modo carente o affidarla al soggetto sbagliato espone titolari del trattamento pubblici e privati a sanzioni significative e a ordini prescrittivi di immediata esecuzione. Questo articolo esamina i profili applicativi più critici, le casistiche più frequenti di errore e i più recenti orientamenti dell'Autorità di controllo italiana.
La DPIA non è un adempimento, è una scelta di progettazione
Scriveva Franz Kafka ne Il Processo: «È logica, ma non regge davanti al tribunale». Qualcosa di simile accade a molte organizzazioni quando si trovano a rispondere delle proprie scelte in materia di protezione dei dati: hanno prodotto documenti, hanno compilato moduli, hanno "fatto la DPIA" — eppure il Garante contesta, sanziona, prescrive. Il punto è che la valutazione d'impatto sulla protezione dei dati non è un modulo da riempire. È un processo decisionale che deve orientare la progettazione del trattamento ancor prima che il trattamento abbia inizio.
La DPIA è un processo aziendale inteso a garantire e dimostrare la conformità di un trattamento dei dati personali rispetto alle norme, valutandone la necessità e la proporzionalità e gestendo gli eventuali rischi per i diritti e le libertà delle persone derivanti dal trattamento. La norma di riferimento è l'art. 35 del Regolamento (UE) 2016/679 — il GDPR — che la prevede come emanazione diretta del principio di accountability, in quanto contribuisce a dimostrare la corretta implementazione delle norme e delle prassi in materia di protezione dei dati personali. Con tale strumento si sposta l'onere dell'analisi dei rischi dalle Autorità di controllo ai titolari del trattamento.
Questo spostamento di onere è il cuore della questione. Il legislatore europeo ha scelto un modello di responsabilità proattiva: non è il Garante a dover dimostrare che il trattamento è rischioso, è il titolare a dover dimostrare di aver valutato i rischi e di averli gestiti. La DPIA è il documento attraverso cui questa dimostrazione si materializza. La sua assenza, o la sua inadeguatezza, è di per sé una violazione del GDPR, indipendentemente dal fatto che si siano verificati danni concreti agli interessati.
Quando la DPIA è obbligatoria: il perimetro applicativo secondo il Garante
Il GDPR non richiede sempre la valutazione di impatto, ma solo se un determinato trattamento, tenuto conto della natura, della portata, del contesto e della specifica finalità, è suscettibile di causare un rischio elevato per i diritti e le libertà delle persone fisiche. L'indeterminatezza nella definizione di "rischio elevato" ha spinto il Gruppo di lavoro ex art. 29 (oggi European Data Protection Board) a individuare nove criteri, che costituiscono degli indici rilevanti per il titolare che deve assumere la propria determinazione sul punto.
Sulla base di questi nove criteri, e "allo scopo di specificarne ulteriormente il contenuto", il Garante italiano ha sviluppato un proprio elenco, composto da dodici tipologie di trattamenti soggetti al requisito di una valutazione d'impatto. L'elenco è stato pubblicato con provvedimento dell'11 ottobre 2018, è vincolante ma non esaustivo, restando fermo quindi l'obbligo di adottare una valutazione d'impatto laddove ricorrano due o più dei criteri individuati dalle Linee Guida.
Le tipologie di trattamento più rilevanti nella prassi operativa di imprese e PA comprendono: la valutazione sistematica e la profilazione, in particolare se alla base di decisioni automatizzate con effetti giuridici o simili; il monitoraggio sistematico, inclusa la videosorveglianza di aree accessibili al pubblico; il trattamento di dati sensibili o giudiziari.
Occorre tenere a mente il principio generale ricavabile dalle Linee Guida EDPB: in caso di dubbio in ordine alla necessità di procedere o meno con la DPIA, è sempre opportuno realizzarla. Questa regola di cautela ha una valenza pratica enorme: nel contesto di un'ispezione del Garante, sostenere di non aver ritenuto necessaria la DPIA senza documentare le ragioni di tale valutazione equivale, nella sostanza, ad ammettere l'omissione.
Sul piano del contenuto minimo obbligatorio, l'art. 35, par. 7 del GDPR richiede: una descrizione sistematica e funzionale dei trattamenti previsti (finalità, base giuridica, eventuale interesse legittimo); la valutazione della necessità e proporzionalità del trattamento in relazione alla finalità; la valutazione dei rischi per i diritti e le libertà degli interessati; le misure tecniche e organizzative previste per mitigare i rischi e le misure di mitigazione; la valutazione dei rischi residui una volta applicate le misure di mitigazione; la redazione di eventuali raccomandazioni.
Un profilo che la prassi tende spesso a trascurare è quello della consultazione preventiva prevista dall'art. 36 GDPR. Qualora, al termine del processo di valutazione e nonostante le misure di mitigazione identificate, il rischio residuo sia ancora elevato, il titolare del trattamento ha l'obbligo di consultare preventivamente il Garante prima di avviare il trattamento. Procedere senza questa consultazione costituisce una violazione del Regolamento. Si tratta di un passaggio che molte organizzazioni ignorano, ritenendo erroneamente che la DPIA esaurisca il proprio iter una volta redatta.
Altrettanto critico è il profilo della natura dinamica della DPIA: la DPIA non è un esercizio "una tantum". Deve essere intesa come un processo continuo e aggiornata qualora intervengano cambiamenti significativi nella natura, nel contesto, nelle finalità o nei rischi del trattamento. Ogni variazione tecnologica rilevante — l'adozione di nuovi strumenti di monitoraggio, l'integrazione di sistemi di intelligenza artificiale, il trasferimento di dati verso nuovi responsabili — impone di verificare se la DPIA esistente sia ancora adeguata o se ne vada redatta una nuova.
Quanto al ruolo del Responsabile della Protezione dei Dati (RPD/DPO) nell'ambito della DPIA, il quadro normativo è preciso: la DPIA costituisce un obbligo prima che sia iniziato il trattamento, in capo al titolare del trattamento che deve consultare il responsabile della protezione dei dati personali ove designato, il quale sorveglia sulla conduzione della stessa e, se richiesto, esprime un parere. Il DPO è quindi un interlocutore privilegiato, non l'autore: la paternità della DPIA resta sempre in capo al titolare, come chiarito con forza dal Garante con un recente orientamento sanzionatorio del luglio 2025.
L'orientamento giurisprudenziale e sanzionatorio del Garante degli ultimi mesi ha contribuito a definire con maggiore chiarezza le linee di confine dell'obbligo e le conseguenze della sua violazione. Vale la pena esaminare tre vicende istruttive.
Il caso forse più emblematico per il mondo del lavoro è il Garante, provvedimento n. 243 del 29 aprile 2025, Regione Lombardia (NB: sentenza anteriore al periodo degli ultimi 6 mesi di riferimento, qui citata per la rilevanza sistematica). Con tale provvedimento, il Garante ha irrogato una sanzione amministrativa di 50.000 euro alla Regione Lombardia per aver conservato, senza le necessarie garanzie procedurali, i metadati generati dai sistemi di gestione della posta elettronica per 90 giorni e i log di navigazione Internet per 365 giorni. In particolare, la Regione ha omesso di condurre una valutazione d'impatto sulla protezione dei dati (DPIA) ai sensi dell'art. 35 del GDPR. Il Garante ha chiarito che, considerato il fatto che il trattamento dei metadati dei sistemi email dei dipendenti comporta potenzialmente "rischi elevati" per i diritti e le libertà degli interessati — in quanto implica il monitoraggio sistematico di dipendenti, considerati soggetti vulnerabili in ragione del loro status di lavoratori subordinati — lo svolgimento della DPIA è obbligatorio, e la sua omissione costituisce una violazione dell'art. 35 del GDPR.
Più recente e pienamente ricompreso nel periodo di riferimento è il Garante, provvedimento n. 752 del 18 dicembre 2025, in materia di videosorveglianza della Pubblica Amministrazione. In tale occasione il Garante ha riscontrato l'omessa redazione preventiva della valutazione di impatto sulla protezione dei dati, obbligatoria in presenza di sorveglianza sistematica su larga scala di aree pubbliche. La DPIA, ricorda correttamente il Garante, non è un adempimento cosmetico da compilare a posteriori, ma uno strumento di progettazione giuridica ex ante, destinato a orientare le scelte tecnologiche e organizzative. Il provvedimento ha rilevato, tra gli altri vizi, che non c'era stata né una valutazione d'impatto (DPIA), né una motivazione specifica, né misure di tutela adeguate. Il messaggio per gli enti locali è nitido: occorre costruire una vera architettura giuridica del trattamento, fatta di finalità distinte, basi legali solide, DPIA preventive, informative complete e procedure efficienti per l'esercizio dei diritti.
Il terzo provvedimento rilevante in questa sede riguarda il sistema CEREBRO della Polizia di Stato: Garante, provvedimento del 4 agosto 2025, n. 10165349 (NB: anteriore al periodo degli ultimi 6 mesi). Si tratta di un caso di consultazione preventiva relativa a una DPIA su un sistema di analisi dei dati a supporto delle indagini patrimoniali. Il Garante ha riscontrato che la DPIA risultava carente sotto il profilo della individuazione delle misure che contribuiscono alla tutela piena dei diritti degli interessati, con particolare riferimento ai diritti di accesso, di rettifica e di cancellazione, alla stregua della normativa di settore e di quanto previsto nei criteri per una valutazione d'impatto accettabile del Gruppo di lavoro art. 29 — European Data Protection Board (WP 248 rev. 01 del 4 ottobre 2017). Il Garante ha dunque chiesto una rivalutazione con un documento aggiornato che colmasse le lacune riscontrate, dimostrando che anche una DPIA formalmente presentata può essere contestata nel merito, quando non soddisfa gli standard qualitativi richiesti.
Emerge con forza, dai tre casi esaminati, il principio che si potrebbe sintetizzare con il brocardo latino diligentia quam in suis: la cura dovuta alla valutazione d'impatto non è quella minima compatibile con la sopravvivenza burocratica del documento, ma quella proporzionata alla reale entità dei rischi che il trattamento comporta. Una DPIA che descrive accuratamente i trattamenti ma non individua misure di mitigazione effettive, o che individua misure di mitigazione senza valutare il rischio residuo, non assolve alla sua funzione e non esime il titolare da responsabilità.
Vale infine segnalare che l'intersezione tra DPIA e AI Act sta diventando uno dei fronti più dinamici del diritto della protezione dei dati. Il Regolamento UE sull'intelligenza artificiale richiede, per i sistemi ad alto rischio, una valutazione di conformità che presenta significative sovrapposizioni con la DPIA del GDPR: il Comitato europeo per la protezione dei dati sta portando avanti un importante lavoro in materia di intelligenza artificiale, proprio evidenziando il ruolo centrale della valutazione d'impatto preventiva in tale settore. Le aziende che già presidiano correttamente il processo DPIA si troveranno dunque in posizione avvantaggiata nel momento in cui dovranno adempiere agli obblighi del AI Act, la cui piena operatività è progressivamente in corso.
Per chi opera nell'ambito della compliance aziendale, i messaggi operativi più urgenti sono almeno quattro. Primo: mappare con precisione i trattamenti e verificare sistematicamente, alla luce dei dodici casi individuati dal Garante e dei nove criteri EDPB, quali tra essi richiedano DPIA. Secondo: non trattare la DPIA come documento statico, ma presidiarla come processo vivo, aggiornato a ogni variazione significativa del trattamento o del contesto tecnologico. Terzo: non affidare la redazione della DPIA al DPO — il DPO consulta e sorveglia, ma non produce: la responsabilità è del titolare. Quarto: in caso di rischio residuo elevato nonostante le misure di mitigazione, non procedere senza consultazione preventiva del Garante: è un obbligo e non un'opzione.
Redazione - Staff Studio Legale MP
