Valutazione d’Impatto sulla Protezione dei Dati - DPIA

Il WP248 rev.01 (ora EDPB 03/2020) individua 9 criteri. La DPIA è obbligatoria se 2 o più criteri sono soddisfatti:

• Valutazione o scoring (profilazione, credit scoring)
• Decisioni automatizzate con effetti giuridici o significativi
• Monitoraggio sistematico di persone
• Dati sensibili o di natura molto personale (art. 9-10 GDPR)
• Trattamento su larga scala
• Combinazione o incrocio di set di dati
• Dati relativi a soggetti vulnerabili (minori, anziani, dipendenti)
• Uso innovativo di tecnologie (AI, IoT, riconoscimento facciale, wearable)
• Trattamento che impedisce l’esercizio di un diritto o di un servizio

Il Garante italiano (Provv. 467/2018) ha individuato 12 tipologie che richiedono sempre DPIA, tra cui: profilazione su larga scala, decisioni automatizzate, videosorveglianza sistematica di zone pubbliche su larga scala, trattamenti di dati biometrici o genetici, uso di tecnologie innovative, trattamenti nell’ambito del rapporto di lavoro tramite sistemi tecnologici. L’art. 35 par. 3 GDPR prevede tre casi sempre obbligatori: valutazione sistematica di persone tramite trattamento automatizzato; trattamento su larga scala di categorie particolari; sorveglianza sistematica su larga scala di zone pubblicamente accessibili.

L’obbligo di DPIA può essere escluso nei seguenti casi:

• Base normativa con DPIA equivalente: il trattamento ha base giuridica in una norma UE o nazionale che ha già effettuato una valutazione d’impatto equivalente (art. 35 par. 10 GDPR)
• Lista di esclusione del Garante: il Garante italiano può adottare una lista di trattamenti per i quali la DPIA non è richiesta
• Trattamenti anteriori al 25/5/2018: trattamenti già soggetti a PIA (Privacy Impact Assessment) prima dell’applicazione del GDPR e senza variazioni significative del rischio (WP248)
• Autorizzazione dell’autorità: trattamenti per i quali l’autorità di controllo aveva già autorizzato le operazioni prima del 25/5/2018
• Trattamento non a rischio elevato: il trattamento non soddisfa i criteri di rischio elevato (ma in tal caso si dovrebbe aver risposto “No” alla domanda precedente)

Attenzione: anche quando si applica un’eccezione, è buona prassi documentare la valutazione che ha portato a tale conclusione, a fini di accountability.

Il principio di accountability (art. 5 par. 2 GDPR) impone al Titolare di essere in grado di dimostrare la propria conformità. Una procedura interna documentata per le DPIA è lo strumento principale per assolvere questo obbligo in modo sistematico.

Una procedura efficace deve indicare: le soglie di attivazione (quando si avvia la DPIA), i soggetti responsabili di ciascuna fase, le modalità di coinvolgimento del DPO, i template documentali da utilizzare, le procedure di archiviazione e versioning della DPIA, i criteri di riesame periodico. La procedura deve essere aggiornata al variare del contesto normativo e tecnologico. La sua assenza espone il Titolare a sanzioni fino a 10 milioni di euro o al 2% del fatturato mondiale (art. 83 par. 5 GDPR).

Il GDPR non impone una metodologia specifica ma richiede che la DPIA sia sistematica e rigorosa. Le metodologie più diffuse e riconosciute sono:

• CNIL PIA Tool (gratuito, open source): sviluppato dall’autorità francese, basato su WP248, disponibile in italiano
• ENISA PIA Guidelines: linee guida dell’agenzia europea per la cybersecurity
• ISO/IEC 29134:2017: standard internazionale per la valutazione d’impatto sulla privacy
• BSI Grundschutz: framework tedesco integrato con la gestione della sicurezza

Qualunque metodologia scelta deve consentire di valutare probabilità e gravità dei rischi per gli interessati, distinguere il rischio inerente (pre-misure) da quello residuo (post-misure) e produrre documentazione verificabile. La metodologia scelta va indicata nella DPIA stessa.

L’art. 35 par. 2 GDPR prevede che il Titolare del trattamento richieda il parere del DPO prima di condurre la DPIA. Il parere deve essere acquisito per iscritto, conservato e allegato alla DPIA. Il mancato coinvolgimento del DPO è una violazione autonoma sanzionabile.

I responsabili del trattamento (art. 28 GDPR) devono fornire tutte le informazioni necessarie sui sistemi, le tecnologie e le misure di sicurezza adottate. Quando il trattamento coinvolge tecnologie specialistiche, è opportuno coinvolgere esperti tecnici interni o esterni.

L’art. 35 par. 9 GDPR stabilisce che il Titolare, ove opportuno, raccoglie il parere degli interessati o dei loro rappresentanti sul trattamento previsto, fermo restando la tutela degli interessi commerciali o pubblici. Questa consultazione è particolarmente rilevante per trattamenti che impattano direttamente sui diritti degli interessati (es. dipendenti, clienti).

L’art. 35 par. 7 lett. a) GDPR impone come primo elemento obbligatorio della DPIA “una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal responsabile del trattamento”.

La descrizione deve includere: tipologie di dati trattati (incluse categorie particolari ex art. 9); categorie di interessati; destinatari dei dati; trasferimenti internazionali e relative garanzie; tecnologie e sistemi utilizzati; durata della conservazione; flusso del dato dal momento della raccolta alla cancellazione; soggetti coinvolti nel trattamento (Titolare, Responsabili, Sub-responsabili). Una descrizione incompleta rende la DPIA giuridicamente carente.

L’art. 35 par. 7 lett. b) GDPR impone “la valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità”. Questa sezione verifica che il trattamento rispetti i principi fondamentali del GDPR.

Gli elementi da verificare e documentare sono: base giuridica applicabile (art. 6 GDPR e, se del caso, art. 9); legittimità delle finalità; minimizzazione dei dati (solo i dati strettamente necessari ex art. 5 lett. c); limitazione della conservazione con periodi definiti (art. 5 lett. e); qualità dei dati; rispetto dei diritti degli interessati (accesso, rettifica, cancellazione, portabilità, opposizione); misure di privacy by design e by default (art. 25 GDPR). Una valutazione superficiale rende la DPIA incompleta e l’accountability carente.

L’art. 35 par. 7 lett. c) GDPR impone “la valutazione dei rischi per i diritti e le libertà degli interessati”. I rischi da considerare riguardano specificamente l’impatto sulle persone fisiche, non solo i rischi informatici per l’organizzazione.

Le tre tipologie di rischio principali da analizzare sono: accesso non autorizzato ai dati; perdita di disponibilità dei dati; alterazione o manipolazione dei dati. Per ciascuna minaccia occorre stimare: probabilità (bassa / media / alta) e gravità dell’impatto sugli interessati (minima / significativa / massima), distinguendo il rischio inerente (prima delle misure) dal rischio residuo (dopo l’applicazione delle misure). L’impatto deve essere valutato in termini di conseguenze concrete per le persone: danno fisico, economico, reputazionale, discriminazione, perdita di controllo sui propri dati.

L’art. 35 par. 7 lett. d) GDPR impone “le misure previste per affrontare i rischi, comprese le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati e dimostrare la conformità al presente regolamento”.

Le misure devono essere specifiche per ciascun rischio identificato. Le misure tecniche possono includere: cifratura dei dati (in transito e a riposo), pseudonimizzazione, controllo degli accessi con autenticazione forte, logging e monitoraggio, backup e disaster recovery, privacy by design nei sistemi. Le misure organizzative includono: policy di sicurezza, formazione del personale, contratti con i responsabili (DPA), procedure di gestione dei data breach, clausole di riservatezza. Per ciascuna misura occorre indicare come riduce la probabilità o la gravità del rischio corrispondente e documentare il rischio residuo atteso dopo l’applicazione.

Il GDPR non impone la pubblicazione della DPIA, ma stabilisce che il Titolare deve conservarla e renderla disponibile all’autorità di controllo su richiesta. La DPIA è parte della documentazione di accountability (art. 5 par. 2 e art. 24 GDPR).

Il sistema di conservazione deve garantire: versioning con data e autore di ogni revisione; allegati (parere del DPO, eventuali consultazioni degli interessati); firma o approvazione formale del Titolare o del delegato; accessibilità tempestiva in caso di ispezione. Non esiste un termine di conservazione esplicito nel GDPR, ma è buona prassi conservare la DPIA per l’intera durata del trattamento e per un periodo ragionevole successivo alla sua cessazione. In caso di data breach correlato al trattamento oggetto di DPIA, la sua disponibilità è critica per la gestione dell’incidente e la comunicazione al Garante.

L’art. 35 par. 8 GDPR stabilisce che “il rispetto dei codici di condotta approvati di cui all’art. 40 da parte dei titolari o dei responsabili del trattamento competenti è tenuto in debita considerazione nel valutare l’impatto dei trattamenti effettuati da tali titolari o responsabili del trattamento, in particolare ai fini della valutazione d’impatto sulla protezione dei dati”.

L’adesione a codici approvati o a certificazioni (art. 42 GDPR) dimostra che il trattamento è svolto secondo standard riconosciuti, rafforzando l’accountability. Le certificazioni più rilevanti sono: ISO/IEC 27001 (sistema di gestione della sicurezza delle informazioni), ISO/IEC 27701 (estensione privacy di ISO 27001, specifica per i sistemi di gestione della privacy). L’adesione a codici o certificazioni è esplicitamente considerata elemento attenuante dal Garante in caso di procedimento sanzionatorio (art. 83 par. 2 lett. j GDPR) e può ridurre significativamente l’entità della sanzione.

L’art. 35 par. 11 GDPR stabilisce che “il titolare del trattamento riesamina la valutazione per valutare se il trattamento avvenga in conformità alla stessa almeno quando insorgono variazioni del rischio rappresentato dalle operazioni di trattamento”. Il riesame è un obbligo continuativo, non un adempimento una tantum.

Il WP248 raccomanda una revisione almeno triennale. I principali trigger per revisione anticipata includono: nuove tecnologie adottate; modifiche alle finalità o alla tipologia di dati trattati; variazioni nel numero o nelle categorie di interessati; data breach relativo al trattamento; modifica normativa rilevante; decisione dell’autorità di controllo che incide sul trattamento; indicazioni provenienti dall’audit interno o da ispezioni. Il riesame deve essere documentato con data, esito e, se del caso, aggiornamento della DPIA. Il DPO deve essere coinvolto nel processo di riesame (art. 38 par. 1 GDPR).

Se la DPIA indica che il trattamento presenterebbe un rischio residuo elevato nonostante le misure adottate, l’art. 36 par. 1 GDPR impone al Titolare di consultare preventivamente il Garante prima di procedere con il trattamento.

La procedura di consultazione prevede: presentazione al Garante della documentazione completa (copia della DPIA, descrizione delle finalità e, se applicabile, dell’interesse legittimo, misure adottate, dati di contatto del Titolare e del DPO); il Garante dispone di 8 settimane per rispondere, prorogabili di ulteriori 6 settimane in casi di particolare complessità (art. 36 par. 2 GDPR). Durante questo periodo il trattamento non può essere avviato. Il Garante può formulare raccomandazioni scritte o, nei casi più gravi, vietare o limitare il trattamento. La mancata consultazione preventiva in presenza di rischio residuo elevato è sanzionabile fino a 10 milioni di euro o al 2% del fatturato mondiale (art. 83 par. 5 lett. c) GDPR). Il Garante italiano ha gestito il caso del Comune di Mazara del Vallo (Prov. 102/2026) irrogando sanzione e imponendo DPIA per videosorveglianza senza previa valutazione d’impatto.