Avv. Antonino Ingoglia - Diritto IT e Privacy
Aziende2026-04-158 min read

DPIA: cos'è la Valutazione d'Impatto sulla Protezione dei Dati (Art. 35 GDPR)

Guida alla DPIA (Data Protection Impact Assessment): quando è obbligatoria, come si redige, sanzioni per omissione e lista dei trattamenti a rischio elevato secondo Garante ed EDPB.

Avv. Antonino Ingoglia

Ordine degli Avvocati di Sciacca n. 747 · Avvocato e Full-Stack Developer · Diritto IT & Privacy

Cos'è la DPIA in sintesi?

La DPIA (Data Protection Impact Assessment), in italiano Valutazione d'Impatto sulla Protezione dei Dati, è uno strumento previsto dall'Art. 35 del Regolamento (UE) 2016/679 (GDPR). È obbligatoria quando un trattamento di dati personali può comportare un rischio elevato per i diritti e le libertà delle persone. L'omissione è punita con sanzioni fino a 10 milioni di euro o il 2% del fatturato mondiale (Art. 83, par. 4, GDPR).

La DPIA è uno degli strumenti di accountability più rilevanti del GDPR, perché impone al titolare del trattamento di analizzare, documentare e gestire i rischi prima di avviare trattamenti potenzialmente lesivi. Non è un mero adempimento formale: è la prova documentata che l'azienda ha valutato l'impatto della propria attività sui diritti fondamentali degli interessati.

Fonti normative: Art. 35 Reg. UE 2016/679 (GDPR) – EUR-Lex · Elenco trattamenti DPIA obbligatoria – Garante Privacy (2018) · Linee Guida WP248 rev.01 EDPB sulla DPIA

Quando è obbligatoria la DPIA?

L'Art. 35, paragrafo 1, del GDPR prevede l'obbligo di DPIA quando un trattamento "può presentare un rischio elevato" per i diritti e le libertà delle persone. Il paragrafo 3 elenca tre categorie esplicite di obbligo:

  1. Profilazione sistematica con effetti giuridici o significativi sull'interessato (Art. 35.3.a)
  2. Trattamento su larga scala di categorie particolari di dati (Art. 9) o dati su condanne penali (Art. 10) (Art. 35.3.b)
  3. Sorveglianza sistematica su larga scala di aree pubbliche (Art. 35.3.c)

Il Garante per la protezione dei dati personali ha adottato nel 2018 un proprio elenco dei trattamenti per i quali è obbligatoria la DPIA, che include ulteriori categorie rispetto a quelle elencate nel Regolamento:

Categoria di trattamentoEsempio pratico
Dati genetici o biometriciRiconoscimento facciale in azienda
Monitoraggio sistematico dei dipendentiSoftware di analisi delle attività su PC
Dati sanitari su larga scalaPiattaforme telemedicina
Profilazione comportamentale degli utentiSistemi di raccomandazione e-commerce
Trasferimento extra-UE di dati sensibiliCloud provider USA senza garanzie adeguate
Scoring creditizio o assicurativoAlgoritmi di valutazione del rischio finanziario
Trattamenti di dati di soggetti vulnerabiliMinori, pazienti, detenuti

Nota redazionale. L'elenco del Garante integra i casi minimi dell'Art. 35 GDPR ma non è esaustivo. Il titolare deve sempre effettuare una valutazione preliminare anche per trattamenti non espressamente inclusi, qualora emergano indicatori di rischio elevato. La valutazione è un giudizio tecnico-giuridico che, in presenza di trattamenti complessi, richiede competenze specialistiche.

Quali sono i criteri per valutare se un trattamento è "ad alto rischio"?

Le Linee Guida WP248 rev.01 dell'EDPB individuano 9 criteri la cui combinazione segnala un rischio elevato che rende opportuna (o obbligatoria) la DPIA. La presenza di due o più criteri è di norma sufficiente a far scattare l'obbligo:

  1. Valutazione o scoring degli interessati (inclusa profilazione)
  2. Decisioni automatizzate con effetti giuridici significativi
  3. Monitoraggio sistematico
  4. Trattamento di dati sensibili o dati di natura altamente personale
  5. Dati trattati su larga scala
  6. Incroci o combinazioni di dataset da fonti diverse
  7. Trattamento riguardante soggetti vulnerabili
  8. Uso innovativo o applicazione di nuove soluzioni tecnologiche
  9. Trattamenti che impediscono l'esercizio dei diritti o l'accesso a servizi/contratti

Come si struttura una DPIA: le fasi operative

Una DPIA ben redatta deve includere almeno gli elementi elencati all'Art. 35, par. 7, del GDPR:

1. Descrizione sistematica del trattamento

  • Finalità e base giuridica
  • Categorie di dati trattati
  • Destinatari e trasferimenti
  • Misure tecniche e organizzative adottate

2. Valutazione di necessità e proporzionalità

Il trattamento è limitato a quanto strettamente necessario per la finalità? Esistono alternative meno invasive? La base giuridica è adeguata?

3. Identificazione e valutazione dei rischi

Per ogni rischio individuato (es. accesso non autorizzato, perdita di dati, uso improprio) si valutano:

  • Probabilità che l'evento si verifichi
  • Gravità dell'impatto sugli interessati

4. Misure di mitigazione

Indicazione delle misure tecniche e organizzative adottate per ridurre i rischi a un livello accettabile.

5. Consultazione del DPO

Se designato, il Responsabile della Protezione dei Dati deve essere coinvolto nella redazione della DPIA (Art. 35, par. 2, GDPR).

6. Consultazione preventiva del Garante (se residuo)

Se il rischio residuo rimane elevato nonostante le misure di mitigazione, il titolare è tenuto a consultare preventivamente l'autorità di controllo (Art. 36 GDPR) prima di avviare il trattamento.

Chi partecipa alla redazione della DPIA?

La DPIA è redatta dal titolare del trattamento, con il supporto obbligatorio del DPO (se designato). L'Art. 35, par. 9, impone al titolare di raccogliere, ove opportuno, il parere degli interessati o dei loro rappresentanti.

In pratica, la redazione coinvolge tipicamente:

  • Il responsabile IT/sicurezza informatica
  • Il DPO interno o esterno
  • Il consulente legale per la valutazione della base giuridica
  • I responsabili del trattamento (fornitori cloud, processori di dati)

Quali sanzioni si applicano per l'omissione della DPIA?

L'omissione della DPIA in presenza di obbligo costituisce una violazione dell'Art. 35 GDPR. Rientra nella categoria sanzionata dall'Art. 83, par. 4, con sanzioni amministrative pecuniarie fino a:

  • 10.000.000 EUR, oppure
  • 2% del fatturato mondiale annuo dell'esercizio precedente (se superiore)

Il Garante Privacy italiano ha applicato sanzioni significative per omissione della DPIA in trattamenti a rischio elevato, in particolare nei settori sanitario, bancario e delle telecomunicazioni.

Nota redazionale. L'importo effettivo della sanzione dipende da numerosi fattori (natura della violazione, cooperazione con il Garante, misure correttive adottate, precedenti) e non è predeterminabile. Le cifre indicate rappresentano i massimi edittali stabiliti dal GDPR.

DPIA e Intelligenza Artificiale: obblighi specifici

L'uso di sistemi di IA che trattano dati personali rende quasi sempre obbligatoria la DPIA, sia per la complessità algoritmica sia per il rischio di decisioni automatizzate con effetti significativi. Il coordinamento con l'AI Act (Regolamento UE 2024/1689) aggiunge ulteriori obblighi di valutazione del rischio per i sistemi IA ad alto rischio, che si sovrappongono parzialmente alla DPIA del GDPR.

Per un approfondimento sull'AI Act, consulta il nostro articolo AI Act: cosa cambia per le aziende italiane.

FAQ – Domande frequenti sulla DPIA

La DPIA è obbligatoria per tutti i trattamenti? No. La DPIA è obbligatoria solo quando il trattamento "può presentare un rischio elevato" per i diritti e le libertà degli interessati (Art. 35, par. 1, GDPR). I trattamenti a basso rischio non richiedono una DPIA formale, anche se rimane buona prassi documentare la valutazione di rischio effettuata.

Chi deve fare la DPIA: il titolare o il DPO? La DPIA è redatta e firmata dal titolare del trattamento, non dal DPO. Il DPO deve essere consultato e fornisce parere, ma la responsabilità giuridica rimane in capo al titolare (Art. 35, par. 2, GDPR).

Ogni quanto va aggiornata la DPIA? Le Linee Guida EDPB WP248 indicano che la DPIA deve essere riesaminata periodicamente e ogni volta che cambiano le condizioni del trattamento (nuove tecnologie, nuove finalità, nuovi rischi). Non esiste una scadenza fissa, ma è buona prassi prevedere una revisione annuale o in occasione di cambiamenti significativi.

La DPIA va inviata al Garante? No, nella maggior parte dei casi. La DPIA rimane un documento interno del titolare. Va trasmessa al Garante solo nei casi di consultazione preventiva obbligatoria (Art. 36 GDPR), quando il rischio residuo rimane elevato nonostante le misure di mitigazione.

Una DPIA può essere riutilizzata per trattamenti simili? Sì, in parte. Una DPIA può coprire più trattamenti simili per natura, finalità e rischi. Tuttavia, trattamenti con caratteristiche significativamente diverse richiedono valutazioni separate o integrazioni specifiche.

Cosa succede se il Garante chiede la DPIA durante un'ispezione? Il titolare è tenuto a esibirla. L'assenza della DPIA in presenza di obbligo è una violazione autonomamente sanzionabile, indipendentemente dall'eventuale data breach o altra violazione contestuale.

Quando serve una consulenza personalizzata sulla DPIA?

La redazione di una DPIA non è un adempimento standardizzabile: richiede un'analisi specifica del trattamento, della base giuridica, delle misure di sicurezza adottate e dei rischi concreti per gli interessati. Una DPIA carente può essere contestata dal Garante tanto quanto la sua assenza.

Valutare con un legale specializzato se il trattamento richiede una DPIA, e redigerla correttamente, è particolarmente opportuno in presenza di: profilazione avanzata, sistemi biometrici, piattaforme digitali con ampia base utenti, trasferimenti extra-UE, implementazione di nuove tecnologie IA.

Disclaimer informativo. I contenuti di questa pagina hanno finalità informativa generale e non costituiscono consulenza legale. Le disposizioni del GDPR richiedono un'analisi applicata al caso concreto. Per ogni valutazione relativa alla propria organizzazione è necessario rivolgersi a un professionista abilitato.

Ultimo aggiornamento editoriale: aprile 2026. Fonti: Art. 35-36 Reg. UE 2016/679 (GDPR); Elenco trattamenti DPIA obbligatoria – Garante Privacy (2018); Linee Guida WP248 rev.01 – EDPB.

Condividi:
Avv. Antonino Ingoglia

Autore

Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.

Profilo completo e competenze tecniche →
Nota Informativa: I contenuti di questo articolo hanno finalità puramente divulgative e informative. Non costituiscono parere legale né instaurano un rapporto professionale. Ogni caso concreto richiede una valutazione specifica da parte di un professionista abilitato.

Articoli correlati

AziendeCookie Banner GDPR: Obblighi, Regole e Come Farlo Correttamente nel 202610 min readAziendePrivacy by Design e Privacy by Default: cosa significa per le aziende (Art. 25 GDPR)8 min readAziendePrivacy Policy Obbligatoria: Quando Serve e Come Redigerla nel 202611 min read
Torna agli articoli

Serve assistenza per il tuo caso?

Prenota un colloquio in videochiamata da tutta Italia. Analizzeremo la situazione e definiremo i passi operativi in totale riservatezza.