Immaginate un'azienda che installa un sistema di videosorveglianza stradale dotato di riconoscimento targhe, oppure un datore di lavoro che conserva per mesi i metadati delle email dei propri dipendenti, o ancora una società che avvia un processo di profilazione automatizzata per finalità antifrode: tre scenari apparentemente diversi, ma accomunati da un elemento unico. In tutti e tre i casi il Garante per la protezione dei dati personali ha contestato, negli ultimi mesi, la mancata redazione della DPIA — la valutazione d'impatto sulla protezione dei dati prevista dall'art. 35 del Regolamento UE 2016/679. Non come vizio formale marginale, ma come violazione autonomamente sanzionabile, capace di aprire procedimenti complessi e sanzioni significative.
Eppure la DPIA rimane uno degli adempimenti più sottovalutati e mal compresi dell'intero impianto GDPR. Comprenderla davvero significa capire non solo quando è obbligatoria, ma come va condotta, chi può redigerla e in quale contesto si inserisce oggi, con il progressivo dispiegarsi dell'AI Act.
Che cos'è la DPIA e quando scatta l'obbligo
La valutazione d'impatto è, nella sua essenza, un processo aziendale finalizzato a garantire e dimostrare la conformità di un trattamento dei dati personali rispetto alla normativa, valutandone la necessità, la proporzionalità e i rischi per i diritti e le libertà degli interessati. Si tratta di uno strumento che concretizza il principio di accountability: con esso si sposta l'onere dell'analisi dei rischi dalle autorità di controllo direttamente al titolare del trattamento, che diventa il primo responsabile della propria conformità.
L'art. 35 del GDPR individua tre ipotesi tipiche in cui la DPIA è obbligatoria: quando il trattamento implica una valutazione sistematica e globale di aspetti personali basata su decisioni automatizzate con effetti giuridici sugli interessati — come il credit scoring o la selezione automatica del personale —; quando riguarda dati particolari o dati relativi a condanne penali e reati su larga scala; e quando consiste nella sorveglianza sistematica su larga scala di aree pubblicamente accessibili. L'elenco non è tassativo: il Garante italiano ha adottato nel 2018 un provvedimento che elenca dodici tipologie di trattamenti soggetti al requisito di DPIA obbligatoria, e l'EDPB ha individuato nove criteri la cui compresenza — già a partire da due soli — determina l'obbligo di procedere alla valutazione.
Il nodo pratico più frequente è proprio l'errore di valutazione a monte: molti titolari credono di non rientrare in nessuna delle categorie, mentre basta la combinazione di due criteri — per esempio, dati su larga scala combinati con monitoraggio sistematico — per far scattare l'obbligo. Come ricordava Rudolf von Jhering, il diritto non è un insieme di formule astratte ma la lotta quotidiana per la tutela degli interessi concreti: nel caso della DPIA, ignorare il problema non fa sparire il rischio, ma semplicemente lo trasferisce al momento dell'ispezione.
Sul piano giuridico il fondamento è chiaro: il brocardo vigilantibus iura subveniunt — il diritto soccorre chi vigila — riassume perfettamente la logica del GDPR. La norma non punisce l'impresa che compie uno sforzo autentico di valutazione, anche se imperfetta; punisce chi non si attiva affatto.
I casi recenti del Garante: tre provvedimenti che disegnano i confini
La prassi applicativa degli ultimi mesi offre tre esempi concreti e verificabili che aiutano a capire dove si formano i vizi più ricorrenti.
Il primo riguarda la conservazione dei metadati delle email dei lavoratori. Con provvedimento n. 243 del 29 aprile 2025, il Garante ha irrogato una sanzione di 50.000 euro alla Regione Lombardia per aver conservato metadati generati dai sistemi di posta elettronica per 90 giorni e log di navigazione Internet per 365 giorni, senza le necessarie garanzie procedurali e senza aver effettuato la DPIA richiesta dall'art. 35 del GDPR. L'Autorità ha chiarito che la raccolta generalizzata di tali dati, abilitando il monitoraggio a distanza dell'attività lavorativa, richiede dal datore di lavoro — in determinate circostanze — il rispetto delle procedure previste dall'art. 4, comma 1, dello Statuto dei Lavoratori. Il trattamento dei metadati delle email dei dipendenti comporta rischi elevati per i diritti e le libertà degli interessati, stante la condizione di subordinazione lavorativa che li rende soggetti particolarmente vulnerabili: la DPIA è dunque obbligatoria, e la sua omissione integra autonoma violazione dell'art. 35 GDPR.
Il secondo caso chiarisce una questione di governance interna che molte organizzazioni trascurano: chi può redigere la DPIA. Con provvedimento n. 202 del 10 aprile 2025, il Garante ha sanzionato una società partecipata del Comune di Milano per aver coinvolto il proprio Data Protection Officer nella redazione della valutazione d'impatto relativa al trattamento di dati raccolti tramite telecamere intelligenti. Secondo l'Autorità, questa prassi compromette l'indipendenza del DPO e viola il GDPR: il Responsabile della protezione dei dati deve esprimere un parere autonomo sulla DPIA, non redigerla in prima persona. Il conflitto di interessi è palese — chi dovrebbe controllare non può essere anche autore del documento da valutare — e la sua ignoranza non costituisce attenuante.
Il terzo provvedimento è particolarmente rilevante perché coinvolge un contesto tecnologicamente avanzato. Con provvedimento n. 102 del 12 febbraio 2026, il Garante ha sanzionato un Comune per il trattamento illecito di dati personali effettuato mediante un sistema di videosorveglianza con lettura targhe. Tra le violazioni contestate figuravano carenze negli obblighi di trasparenza e la mancata redazione della valutazione d'impatto sulla protezione dei dati prevista dall'art. 35 GDPR per i trattamenti che comportano sorveglianza sistematica di aree accessibili al pubblico. Il caso dimostra che anche gli enti locali — spesso ritenuti meno esposti al rischio sanzionatorio — sono pienamente soggetti all'obbligo.
A questi si aggiunge un quarto profilo emergente, documentato dal provvedimento del Garante del 17 aprile 2026: in un procedimento relativo ad attività antifrode con componenti tecnologiche avanzate, l'Autorità ha rilevato la mancanza di misure volte a garantire che i trattamenti fossero conformi ai principi di protezione dei dati fin dalla progettazione, tra cui specificamente l'effettuazione di una DPIA preventiva all'utilizzo della soluzione tecnologica prescelta, con lo scopo di rilevare e mitigare i rischi elevati che trattamenti siffatti comportano per i diritti e le libertà degli interessati. Il Garante ha dunque ribadito la funzione anticipatoria della DPIA: deve essere condotta prima dell'avvio del trattamento, non dopo.
DPIA e AI Act: il doppio binario che le imprese non possono ignorare
Il panorama normativo non può essere più letto guardando al solo GDPR. L'AI Act — Regolamento UE 2024/1689, entrato in vigore il 1° agosto 2024 con applicazione progressiva — introduce per i sistemi di intelligenza artificiale ad alto rischio una propria valutazione di conformità, che si affianca e si intreccia alla DPIA. Per i sistemi di IA che trattano dati personali, il Garante Privacy è chiamato ad agire sull'interfaccia tra i due regimi: quando un sistema AI tratta dati personali, le violazioni GDPR possono cumularsi con quelle AI Act, generando esposizioni sanzionatorie assai significative.
In termini operativi, ciò significa che chi introduce un sistema di intelligenza artificiale in azienda — un chatbot generativo per il customer care, un sistema di scoring creditizio, uno strumento di selezione automatica del personale — deve condurre sia la DPIA ex art. 35 GDPR, sia, se il sistema ricade nelle categorie ad alto rischio dell'AI Act, la Fundamental Rights Impact Assessment prevista dall'art. 27 del Regolamento. I due processi non sono alternativi né sovrapponibili: rispondono a logiche parzialmente diverse e devono essere documentati separatamente, pur potendo essere condotti in modo coordinato.
Il caso Isybank, con la sanzione da 17,6 milioni di euro irrogata nel marzo 2026, conferma che anche la profilazione per finalità non strettamente commerciali — come le attività antifrode — rientra nell'obbligo di valutazione d'impatto. L'EDPB, dal canto suo, ha pubblicato il 14 aprile 2026 il primo template ufficiale per la redazione delle DPIA, in consultazione pubblica fino al 9 giugno 2026: non è obbligatorio, ma offre un quadro strutturato che le imprese farebbero bene a seguire, anche perché la sua adozione costituirà presunzione di approccio metodologicamente corretto in sede di ispezione.
Cosa fare concretamente: errori frequenti e buone pratiche
Dalla casistica sanzionatoria emergono alcuni errori ricorrenti che è utile elencare con precisione. Il primo è la mancata effettuazione della DPIA nei casi obbligatori, spesso per un'erronea valutazione preliminare del livello di rischio del trattamento. Il secondo è la redazione di una DPIA formalmente esistente ma priva di contenuto sostanziale: un documento generico, privo dell'identificazione puntuale dei rischi specifici per ciascuna categoria di interessati e delle misure di mitigazione correlate, non soddisfa il requisito normativo. Il terzo errore — sanzionato esplicitamente — è il coinvolgimento del DPO nella redazione: il DPO deve essere consultato e deve esprimere un parere scritto, ma non può essere l'autore della valutazione.
Un quarto errore, meno visibile ma altrettanto critico, è la staticità della DPIA: il documento non può essere redatto una volta sola e dimenticato in un cassetto. La valutazione d'impatto va riesaminata e aggiornata ogni volta che cambia il contesto del trattamento — nuove tecnologie adottate, nuove categorie di dati trattate, nuovi destinatari, modifiche organizzative rilevanti. Una DPIA redatta tre anni fa per un sistema di videosorveglianza che nel frattempo ha integrato funzioni di riconoscimento biometrico è, ai fini del GDPR, come se non esistesse.
Le sanzioni per mancata o inadeguata DPIA possono raggiungere, ai sensi dell'art. 83 GDPR, fino a 10 milioni di euro o al 2% del fatturato globale annuo dell'organizzazione. Nel contesto dell'AI Act, come visto, le esposizioni possono cumularsi e superare soglie ben più elevate per le imprese di medie e grandi dimensioni.
Sul piano del processo corretto, la DPIA dovrebbe essere avviata prima dell'inizio del trattamento e articolata nelle sue componenti essenziali: descrizione sistematica del trattamento e delle sue finalità, valutazione della necessità e proporzionalità, identificazione dei rischi specifici per ciascuna categoria di interessati con indicazione delle misure di mitigazione adottate e del rischio residuo, eventuale consultazione degli interessati, parere del DPO e, qualora il rischio residuo rimanga elevato nonostante le misure adottate, consultazione preventiva del Garante ai sensi dell'art. 36 GDPR. Quest'ultimo passaggio è obbligatorio e non discrezionale: omettere la consultazione preventiva quando il rischio residuo è alto costituisce autonoma violazione del Regolamento.
La DPIA non è, in definitiva, un adempimento burocratico da completare per poter spuntare una casella. È lo strumento con cui il titolare del trattamento esercita la propria responsabilità consapevole sui dati delle persone con cui opera, e dimostra — non solo afferma — di averla esercitata. In un sistema normativo che ha definitivamente abbandonato l'approccio delle misure minime di sicurezza per abbracciare quello delle misure adeguate al rischio, la qualità del ragionamento che precede il trattamento vale più di qualunque checklist compilata a posteriori.
Redazione - Staff Studio Legale MP
