Un modello DPIA — la valutazione d’impatto sulla protezione dei dati prevista dall’art. 35 del Regolamento (UE) 2016/679 (GDPR) — deve articolarsi in quattro sezioni: descrizione sistematica del trattamento, valutazione di necessità e proporzionalità, analisi dei rischi per i diritti e le libertà degli interessati, misure previste per affrontarli. Qui trovi il fac-simile pronto da compilare, sezione per sezione, con l’elenco dei trattamenti che in Italia rendono la DPIA obbligatoria secondo il Garante e il rinvio alla metodologia PIA riconosciuta dall’Autorità.
Punti chiave
- La DPIA è obbligatoria quando un trattamento «può presentare un rischio elevato» (art. 35, par. 1 GDPR).
- Il provvedimento del Garante n. 467 dell’11 ottobre 2018 elenca le tipologie di trattamento che richiedono sempre una DPIA in Italia.
- La struttura minima è fissata dall’art. 35, par. 7: descrizione, necessità/proporzionalità, rischi, misure.
- Il Responsabile della protezione dei dati (RPD/DPO) va consultato (art. 35, par. 2).
- La DPIA è un documento vivo: va rivista quando cambia il rischio del trattamento.
Quando la DPIA è obbligatoria
La DPIA non serve per ogni trattamento, ma diventa obbligatoria quando è probabile un rischio elevato. L’art. 35, par. 3 indica tre casi tipici: valutazione sistematica e globale basata su trattamento automatizzato, compresa la profilazione, con effetti giuridici o similmente significativi; trattamento su larga scala di categorie particolari di dati (art. 9) o dati giudiziari (art. 10); sorveglianza sistematica su larga scala di zona accessibile al pubblico.
A questo si aggiunge l’elenco nazionale. Con il provvedimento n. 467 dell’11 ottobre 2018 il Garante ha individuato le tipologie di trattamento soggette a DPIA obbligatoria in Italia — tra cui trattamenti valutativi o di scoring su larga scala, trattamenti che utilizzano tecnologie innovative (IoT, intelligenza artificiale), trattamenti di dati biometrici o genetici su larga scala, interconnessione di banche dati. Se il tuo trattamento rientra in una di queste categorie, la valutazione va fatta a prescindere da altre considerazioni. Per il metodo completo rimando alla guida sulla valutazione d’impatto DPIA; questa pagina è il modello da compilare.
Il fac-simile, sezione per sezione
Sezione 1 — Descrizione sistematica del trattamento
Fotografa il trattamento così com’è. Campi da compilare:
- Denominazione del trattamento: es. «Sistema di videosorveglianza con riconoscimento targhe».
- Finalità: perché tratti i dati.
- Base giuridica (art. 6 ed eventuale art. 9).
- Categorie di interessati e di dati.
- Flusso dei dati: raccolta, elaborazione, conservazione, comunicazione, cancellazione.
- Soggetti coinvolti: titolare, responsabili (art. 28), autorizzati.
- Tecnologie e fornitori impiegati.
- Termini di conservazione.
Questa sezione riprende, ampliandole, le informazioni già presenti nel registro dei trattamenti: partire dal registro fa risparmiare metà del lavoro.
Sezione 2 — Necessità e proporzionalità
Qui dimostri che il trattamento è giustificato. Campi:
- Idoneità: il trattamento serve realmente alla finalità dichiarata?
- Necessità: esistono alternative meno invasive che raggiungono lo stesso scopo?
- Proporzionalità: la compressione dei diritti è bilanciata dal beneficio?
- Minimizzazione: tratti solo i dati indispensabili (art. 5, par. 1, lett. c)?
- Rispetto dei diritti: come garantisci informativa, accesso, opposizione, cancellazione?
Sezione 3 — Valutazione dei rischi
Individua le minacce per i diritti e le libertà degli interessati e valutane probabilità e gravità. La tabella seguente è il cuore compilabile della DPIA.
| Rischio | Origine | Probabilità (B/M/A) | Gravità (B/M/A) | Livello |
|---|---|---|---|---|
| Accesso non autorizzato ai dati | Attacco esterno / insider | Media | Alta | Elevato |
| Uso per finalità ulteriori | Errore organizzativo | Media | Media | Medio |
| Perdita/indisponibilità dati | Guasto / ransomware | Bassa | Alta | Medio |
| Identificazione indebita | Dati eccessivi | Media | Media | Medio |
Per ogni scenario si considera la fonte del rischio, la probabilità e la gravità dell’impatto sulla persona (non sull’azienda: la prospettiva è quella dell’interessato).
Sezione 4 — Misure previste
Per ciascun rischio, indica le misure tecniche e organizzative (art. 32) che lo riducono, con il rischio residuo dopo la loro applicazione:
- Misure tecniche: cifratura, pseudonimizzazione, controllo accessi, log, backup.
- Misure organizzative: procedure, istruzioni agli autorizzati, formazione, contratti con i responsabili.
- Misure a tutela dei diritti: informativa chiara, canali per l’esercizio dei diritti.
- Rischio residuo: se resta «elevato» nonostante le misure, scatta la consultazione preventiva del Garante (art. 36).
Le misure vanno integrate fin dalla progettazione, secondo il principio di privacy by design: una DPIA fatta a valle, a sistema già costruito, spesso arriva troppo tardi per cambiare le scelte davvero rilevanti.
Metodologia e strumenti riconosciuti
Il Garante ha esplicitamente valorizzato la metodologia PIA elaborata dall’omologa autorità francese (la CNIL), che mette a disposizione un software gratuito per condurre la valutazione in modo strutturato. Non è l’unico approccio ammesso — l’art. 35 non impone un metodo — ma è un riferimento solido e riconosciuto, utile soprattutto a chi affronta la prima DPIA. L’importante è che il metodo scelto copra le quattro sezioni previste dall’art. 35, par. 7 e sia applicato in modo coerente su tutti i trattamenti a rischio elevato dell’organizzazione. Adottare uno schema uniforme, anziché improvvisare una struttura diversa per ogni valutazione, rende le DPIA comparabili tra loro e più facili da difendere in caso di controllo del Garante.
Un esempio concreto: la videosorveglianza
Il caso più frequente in cui le PMI incontrano l’obbligo di DPIA è la videosorveglianza su larga scala o con tecnologie avanzate (riconoscimento facciale, lettura targhe). In questi casi la valutazione va condotta prima dell’attivazione degli impianti e deve dialogare con le regole specifiche di settore: vedi la guida alla videosorveglianza secondo il Garante. Una DPIA ben fatta qui evita sia la sanzione sia lo smantellamento di impianti installati male.
Perché il modello, da solo, non basta
Il fac-simile dà la struttura; ma una DPIA vive di aggiornamenti e di coerenza con gli altri documenti — registro, informative, contratti, registro delle violazioni. Tenere insieme tutto a mano, su file separati, è la ragione per cui molte DPIA «invecchiano» e non riflettono più il trattamento reale. Piattaforme come Legiscope generano la DPIA a partire dai trattamenti già mappati, guidano il test del rischio e la mantengono sincronizzata quando qualcosa cambia, riducendo il rischio di documenti fermi al giorno della prima compilazione.
Per il quadro normativo, consulta il testo dell’art. 35 GDPR su EUR-Lex, le linee guida dell’EDPB sulla DPIA e le indicazioni del Garante per la protezione dei dati personali.
Domande frequenti
Chi deve firmare la DPIA?
La DPIA è responsabilità del titolare del trattamento, che la adotta e ne risponde. L’art. 35, par. 2 impone di consultare il Responsabile della protezione dei dati (RPD/DPO), quando nominato, il cui parere va documentato. Coinvolgere anche le funzioni IT e di business rende la valutazione più solida, ma la decisione finale resta del titolare.
Cosa succede se il rischio resta elevato anche dopo le misure?
Se, applicate tutte le misure, il rischio residuo resta elevato, il titolare non può procedere senza prima consultare il Garante ai sensi dell’art. 36 GDPR (consultazione preventiva). L’Autorità può fornire indicazioni o, nei casi più gravi, esercitare i poteri correttivi dell’art. 58. Nella pratica, questo passaggio spinge a ripensare il trattamento.
Ogni quanto va aggiornata la DPIA e va inviata al Garante?
Non ha una scadenza fissa, ma va riesaminata quando cambia il rischio: nuove tecnologie, nuove finalità, nuovi fornitori, incidenti significativi. È buona prassi rivederla almeno ogni due anni per i trattamenti ad alto rischio. Di regola non si trasmette al Garante: va tenuta a disposizione e mostrata su richiesta, come il registro dei trattamenti. L’invio all’Autorità avviene solo nell’ipotesi della consultazione preventiva dell’art. 36, quando il rischio residuo resta elevato nonostante le misure.
Vedi anche: la DPIA per i sistemi di IA ad alto rischio e per i trattamenti descritti nel GDPR in sanità.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial