DPIA: Valutazione d'impatto sulla protezione dati

La Valutazione d'Impatto sulla Protezione dei Dati (DPIA — Data Protection Impact Assessment) è uno degli strumenti chiave del GDPR per gestire i trattamenti ad alto rischio. Il Garante per la Protezione dei Dati Personali ha pubblicato un elenco specifico dei trattamenti che richiedono una DPIA in Italia. Ecco come condurla correttamente.

Quando la DPIA è obbligatoria

L'articolo 35 del GDPR prevede la DPIA quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone. Il GDPR indica tre scenari espliciti:

1. Valutazione sistematica e globale di aspetti personali basata su trattamento automatizzato (profilazione con effetti giuridici)
2. Trattamento su larga scala di categorie particolari di dati (sanitari, biometrici, genetici) o dati relativi a condanne penali
3. Sorveglianza sistematica di una zona accessibile al pubblico su larga scala

Lista del Garante italiano

Il Garante ha pubblicato un elenco di trattamenti che richiedono sempre la DPIA:

| Trattamento | Perché obbligatoria | |-------------|---------------------| | Trattamenti valutativi o di scoring su larga scala | Profilazione + decisioni automatizzate | | Trattamenti automatizzati per decisioni con effetti giuridici | Impatto sui diritti degli interessati | | Monitoraggio sistematico (videosorveglianza, geolocalizzazione) | Sorveglianza su larga scala | | Trattamento di dati biometrici per identificazione | Categorie particolari | | Trattamento di dati genetici | Categorie particolari | | Trattamento di dati sanitari su larga scala | Rischio elevato per interessati vulnerabili | | Uso innovativo di tecnologie (IA, IoT, riconoscimento facciale) | Nuove tecnologie con rischi sconosciuti | | Trattamenti che impediscono l'esercizio di un diritto | Impatto diretto sui diritti fondamentali |

Il test delle due condizioni

Se non siete certi, applicate il test del Gruppo di Lavoro Articolo 29 (ora EDPB). La DPIA è probabilmente necessaria se il vostro trattamento soddisfa almeno due di questi criteri:

1. Valutazione o scoring (profilazione)
2. Decisioni automatizzate con effetti giuridici
3. Monitoraggio sistematico
4. Dati sensibili o di natura particolarmente personale
5. Trattamento su larga scala
6. Combinazione o incrocio di dataset
7. Dati relativi a soggetti vulnerabili (minori, dipendenti, pazienti)
8. Uso innovativo di tecnologie
9. Trasferimento di dati al di fuori dell'UE

Metodologia DPIA in 7 fasi

Fase 1: Descrizione del trattamento

Documentate in modo dettagliato:

• Natura: quali operazioni di trattamento (raccolta, conservazione, profilazione, condivisione)
• Ambito: categorie di dati, volume, area geografica
• Contesto: relazione con gli interessati, aspettative ragionevoli
• Finalità: obiettivo del trattamento

trattamento:
  nome: "Sistema di scoring clienti"
  titolare: "Azienda S.r.l."
  natura:
    - Raccolta dati comportamentali dal sito web
    - Analisi automatizzata dei pattern di acquisto
    - Assegnazione di un punteggio di affidabilità
  ambito:
    dati: ["storico acquisti", "comportamento online", "dati anagrafici"]
    volume: "~50.000 clienti"
    area: "Italia"
  contesto: "E-commerce B2C, clienti non si aspettano profilazione"
  finalita: "Personalizzazione offerte e gestione del credito"

Fase 2: Valutazione della necessità e proporzionalità

Verificate che il trattamento sia:

• Necessario: non esistono alternative meno invasive per raggiungere lo stesso obiettivo
• Proporzionato: i dati raccolti sono i minimi necessari
• Basato su una base giuridica valida: consenso informato, legittimo interesse bilanciato, ecc.
• Trasparente: gli interessati sono informati

Fase 3: Identificazione dei rischi

Per ogni rischio, valutate:

| Rischio | Probabilità | Gravità | Livello | |---------|-------------|---------|---------| | Accesso non autorizzato ai dati di scoring | Media | Alta | Alto | | Errore nell'algoritmo → decisione ingiusta | Bassa | Molto alta | Alto | | Fuga di dati verso terze parti | Bassa | Alta | Medio | | Uso dei dati per finalità non previste | Media | Media | Medio | | Impossibilità di esercitare diritti | Bassa | Alta | Medio |

Fase 4: Valutazione dei rischi

Matrice di rischio:

| | Gravità bassa | Gravità media | Gravità alta | Gravità molto alta | |---|---|---|---|---| | Probabilità alta | Medio | Alto | Molto alto | Molto alto | | Probabilità media | Basso | Medio | Alto | Molto alto | | Probabilità bassa | Basso | Basso | Medio | Alto | | Probabilità trascurabile | Trascurabile | Basso | Basso | Medio |

Fase 5: Misure di mitigazione

Per ogni rischio alto o molto alto, definite misure concrete:

| Rischio | Misura | Rischio residuo | |---------|--------|-----------------| | Accesso non autorizzato | MFA + crittografia + logging | Basso | | Errore algoritmo | Audit periodico + supervisione umana | Basso | | Fuga dati | DPA con fornitori + monitoraggio | Basso | | Uso non previsto | Policy interna + formazione | Basso | | Diritti bloccati | Procedura automatizzata + contact point | Basso |

Fase 6: Consultazione

• DPO: parere obbligatorio se nominato
• Interessati: consultazione raccomandata (sondaggi, focus group)
• Garante: consultazione preventiva obbligatoria se il rischio residuo resta elevato nonostante le misure

Fase 7: Documentazione e revisione

La DPIA è un documento vivo:

• Conservate tutta la documentazione
• Pianificate revisioni periodiche (almeno annuali)
• Aggiornate la DPIA a ogni modifica significativa del trattamento

Errori comuni nelle DPIA italiane

DPIA troppo generica — "I rischi sono bassi e le misure sono adeguate" non è una DPIA. Servono rischi specifici, misure concrete e valutazioni documentate.

DPIA fatta una volta e dimenticata — Se il trattamento evolve, la DPIA deve essere aggiornata. Un nuovo algoritmo, un nuovo fornitore, un nuovo tipo di dato = revisione.

Non coinvolgere il DPO — Se avete un DPO, il suo parere sulla DPIA è obbligatorio. La sua assenza dalla procedura è una non conformità.

Confondere DPIA con analisi dei rischi IT — La DPIA è focalizzata sui rischi per gli interessati, non sui rischi per l'azienda. La perdita di dati è un rischio DPIA perché impatta gli interessati, non perché impatta il fatturato.

Consultazione preventiva del Garante

Se dopo la DPIA il rischio residuo resta elevato e non riuscite a mitigarlo con misure ragionevoli, dovete consultare il Garante prima di procedere con il trattamento (Art. 36 GDPR).

Il Garante ha 8 settimane (estensibili a 14) per fornire il proprio parere. Durante questo periodo, il trattamento non può essere avviato.

Conclusione

La DPIA non è un documento burocratico — è uno strumento di decisione. Vi costringe a pensare ai rischi prima che diventino incidenti e a documentare le vostre scelte. In un contesto regolamentare sempre più stringente, è il miglior investimento in prevenzione.

Scansiona il tuo sito web gratis con WarDek — OWASP, NIS2, GDPR, AI Act in un'unica scansione.