Protezione dei dati

Valutazione d'impatto DPIA art. 35 GDPR 2026: quando serve + modello in passi

Valutazione d'impatto sulla protezione dei dati (DPIA/VIP) art. 35 GDPR: quando è obbligatoria secondo il Garante, come si svolge passo passo e un modello.

La valutazione d’impatto sulla protezione dei dati (DPIA, in italiano anche VIP) è l’analisi preventiva del rischio che il titolare del trattamento deve svolgere, ai sensi dell’art. 35 del Regolamento (UE) 2016/679 (GDPR), prima di avviare un trattamento che può presentare un rischio elevato per i diritti e le libertà delle persone. L’art. 35, par. 3 individua tre casi in cui è sempre richiesta: la valutazione sistematica e globale di aspetti personali basata su un trattamento automatizzato, compresa la profilazione, con effetti giuridici o analogamente significativi; il trattamento su larga scala di categorie particolari di dati (art. 9) o di dati relativi a condanne penali e reati (art. 10); la sorveglianza sistematica su larga scala di zone accessibili al pubblico. A questi si aggiunge l’elenco delle tipologie di trattamento soggette a DPIA pubblicato dal Garante con provvedimento dell’11 ottobre 2018. Se, terminata la valutazione, permane un rischio elevato non mitigabile, l’art. 36 impone la consultazione preventiva del Garante prima di iniziare. Questa guida spiega quando la DPIA è dovuta e la scompone in un modello operativo passo per passo.

Quando la DPIA è obbligatoria

Il criterio generale è il rischio elevato. Per aiutare a individuarlo, le Linee guida dell’ex Gruppo di lavoro Art. 29 (WP248) indicano nove criteri: valutazione/scoring, decisioni automatizzate con effetti significativi, monitoraggio sistematico, dati sensibili o di natura estremamente personale, trattamenti su larga scala, combinazione o raffronto di insiemi di dati, dati di soggetti vulnerabili (minori, lavoratori), uso innovativo di nuove tecnologie, trattamenti che impediscono agli interessati di esercitare un diritto o usare un servizio. La regola pratica: se il trattamento soddisfa due o più di questi criteri, la DPIA è di norma necessaria.

A ciò si aggiunge, per l’Italia, l’elenco del Garante (provvedimento 11 ottobre 2018) con dodici tipologie di trattamenti da sottoporre comunque a DPIA. Tra queste, a titolo di esempio:

Tipologia (elenco Garante) Esempi ricorrenti
Trattamenti valutativi o di scoring su larga scala Credit scoring, profilazione della clientela
Decisioni automatizzate con effetti giuridici o significativi Selezione automatica del personale, gestione algoritmica dei rider
Monitoraggio sistematico dei lavoratori Geolocalizzazione flotte, controllo degli accessi e della produttività
Trattamenti di dati biometrici o genetici su larga scala Riconoscimento facciale, controllo accessi biometrico
Trattamenti che comportano interconnessione di banche dati Incrocio di archivi di titolari diversi
Dati di soggetti vulnerabili su larga scala (minori, pazienti) Piattaforme educative, gestione clinica

Un caso tipico è la videosorveglianza estesa e sistematica di aree pubbliche o dei lavoratori, che spesso rientra nell’obbligo. Nel dubbio, la scelta prudente è documentare comunque una valutazione, anche sintetica, che dia conto del perché la DPIA non sia necessaria.

Il modello in passi

La DPIA non è un modulo da spuntare, ma un processo. L’art. 35, par. 7 fissa il contenuto minimo, che può essere organizzato in questi passi.

Passo Cosa fare Riferimento
1. Descrizione del trattamento Descrivere sistematicamente le operazioni, le finalità e l’eventuale legittimo interesse perseguito; contesto, dati, interessati, destinatari, tempi di conservazione, tecnologie art. 35, par. 7, lett. a
2. Necessità e proporzionalità Verificare che il trattamento sia necessario e proporzionato rispetto alle finalità; base giuridica, minimizzazione, limitazione della conservazione, informativa e diritti art. 35, par. 7, lett. b
3. Valutazione dei rischi Individuare le minacce alla riservatezza, integrità e disponibilità; stimare probabilità e gravità dell’impatto sui diritti e sulle libertà degli interessati art. 35, par. 7, lett. c
4. Misure di mitigazione Definire le misure tecniche e organizzative per ridurre i rischi (cifratura, pseudonimizzazione, controllo accessi, minimizzazione, governance) e valutare il rischio residuo art. 35, par. 7, lett. d
5. Consultazione e revisione Raccogliere il parere del RPD; se il rischio residuo resta elevato, consultare il Garante (art. 36); riesaminare la DPIA quando il trattamento cambia artt. 35-36

Il parere degli interessati o dei loro rappresentanti va raccolto “ove opportuno” (art. 35, par. 9). La DPIA va aggiornata quando muta il rischio: nuovi dati, nuove tecnologie, nuove finalità o nuovi fornitori impongono un riesame. Un buon punto di partenza è sempre il registro dei trattamenti, da cui si estraggono descrizione, finalità, categorie di dati e tempi di conservazione già mappati.

Il testo seguente è uno schema di scheda DPIA da adattare al trattamento concreto.

Scheda di valutazione d’impatto (art. 35 GDPR)

1. Trattamento e responsabilità. Titolare: [denominazione]. RPD consultato: [sì/no, data]. Attività di trattamento: [voce del registro]. Finalità: [finalità]. Eventuale responsabile ex art. 28: [fornitore].

2. Descrizione. Operazioni, categorie di interessati e di dati, destinatari, tecnologie impiegate, tempi di conservazione, eventuali trasferimenti extra UE.

3. Necessità e proporzionalità. Base giuridica; minimizzazione; limitazione della conservazione; informativa e modalità di esercizio dei diritti; misure per i responsabili.

4. Rischi individuati. Per ciascun rischio: descrizione, fonte, probabilità, gravità dell’impatto sui diritti e sulle libertà degli interessati.

5. Misure e rischio residuo. Misure tecniche e organizzative adottate (cifratura, pseudonimizzazione, controllo accessi, governance); livello di rischio residuo (accettabile / elevato).

6. Esito. Trattamento avviabile / da rivedere / da sottoporre a consultazione preventiva del Garante (art. 36). Data della valutazione e riesame programmato.

La consultazione preventiva del Garante (art. 36)

Se, nonostante le misure adottate, il trattamento presenta ancora un rischio elevato residuo, il titolare non può procedere: deve prima consultare il Garante ai sensi dell’art. 36. Nella richiesta trasmette, tra l’altro, le responsabilità nel trattamento, le finalità, le misure e le garanzie previste, la valutazione stessa e i dati di contatto del RPD. Il Garante, entro i termini di legge, può fornire indicazioni o esercitare i propri poteri correttivi. La consultazione preventiva è quindi l’eccezione, non la regola: interviene solo quando le misure non riescono a portare il rischio a un livello accettabile.

Il ruolo del RPD e il legame con la privacy by design

L’art. 35, par. 2 stabilisce che il titolare, nello svolgere la DPIA, si consulta con il Responsabile della protezione dei dati (RPD/DPO), che fornisce pareri e ne sorveglia lo svolgimento. La DPIA non è però un adempimento isolato: è l’espressione più concreta del principio di protezione dei dati fin dalla progettazione (privacy by design) dell’art. 25. Valutare il rischio prima di avviare un progetto significa progettare il trattamento con le tutele già incorporate, invece di correggere a posteriori. Per questo la DPIA va avviata nella fase di analisi di un nuovo prodotto o servizio, non alla vigilia del lancio.

Gestire le DPIA su molti trattamenti, mantenendole coerenti con registro, informative e misure di sicurezza, è un’attività ripetitiva e delicata. Piattaforme di conformità come Legiscope guidano la valutazione passo per passo, riutilizzano i dati già presenti nel registro e conservano le evidenze in modo tracciabile; per un quadro degli strumenti disponibili si veda la guida al software di conformità GDPR. Per iniziare, può essere utile un modello di DPIA fac-simile da compilare passo per passo.

Per approfondire: l’art. 35 del Regolamento (UE) 2016/679 su EUR-Lex, l’elenco delle tipologie di trattamenti soggetti a DPIA — provv. Garante 11 ottobre 2018 e le informazioni del Garante per la protezione dei dati personali.

Domande frequenti

La DPIA va sempre inviata al Garante?

No. La valutazione d’impatto è un documento interno che il titolare conserva ed esibisce su richiesta. Va trasmessa al Garante solo nel caso della consultazione preventiva dell’art. 36, cioè quando dopo le misure permane un rischio elevato residuo che il titolare non riesce a mitigare. Negli altri casi la DPIA dimostra il rispetto del principio di responsabilizzazione senza alcun invio ordinario.

Chi deve svolgere la DPIA, il titolare o il RPD?

La responsabilità è del titolare del trattamento. Il RPD fornisce pareri e sorveglia lo svolgimento della valutazione (art. 35, par. 2), ma non la “firma” al posto dell’organizzazione né ne assume la responsabilità. Nella pratica la DPIA è un lavoro di squadra tra funzioni di business, IT e RPD, coordinato dal titolare.

Cosa rischio se non svolgo una DPIA obbligatoria?

L’omissione di una DPIA dovuta, il suo svolgimento inadeguato o la mancata consultazione del Garante quando prevista espongono a sanzioni fino a 10 milioni di euro o al 2% del fatturato mondiale annuo (art. 83, par. 4). Al di là della sanzione, procedere senza valutare un rischio elevato significa esporre gli interessati a danni concreti e l’organizzazione a un possibile ordine di limitazione o divieto del trattamento da parte dell’Autorità.

Conclusione

La valutazione d’impatto dell’art. 35 è lo strumento con cui il GDPR chiede di ragionare sul rischio prima di trattare i dati, non dopo. È obbligatoria nei tre casi dell’art. 35, par. 3, nelle tipologie dell’elenco del Garante e, più in generale, ogni volta che il trattamento può presentare un rischio elevato. Svolta come processo in passi — descrizione, necessità e proporzionalità, valutazione dei rischi, misure e revisione — e integrata fin dalla progettazione, la DPIA smette di essere un onere formale e diventa il momento in cui l’organizzazione decide, consapevolmente, quali rischi è disposta ad accettare e quali deve eliminare prima di partire.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →