Lo scorso 14 aprile, il Comitato europeo per la protezione dei dati (European Data Protection Board – EDPB) ha adottato un modello per le valutazioni d’impatto sulla protezione dei dati (Data Protection Impact Assessment – DPIA), che sarà sottoposto a consultazione pubblica fino al 9 giugno 2026. L’iniziativa si inserisce nel solco della Dichiarazione di Helsinki dell’EDPB del luglio 2025, con la quale l’EDPB ha delineato una serie di azioni volte a facilitare la conformità al GDPR, rafforzare la coerenza applicativa e promuovere la cooperazione tra le Autorità di controllo.
Il modello, accompagnato da un documento esplicativo che ne illustra le modalità di compilazione, è concepito per supportare i titolari del trattamento nella redazione delle valutazioni d’impatto, attraverso una struttura a campi predefiniti che guidano la stesura del documento. L’adozione del modello, pur non essendo obbligatoria, offre alle organizzazioni uno schema armonizzato che, al termine della consultazione pubblica, le Autorità di controllo saranno chiamate a recepire – come standard unico oppure come “meta-modello” a cui allineare i template nazionali.
Il modello si articola in sei macro-sezioni:
Sezione 0 – Panoramica del trattamento;
Sezione 1 – Descrizione sistematica del trattamento;
Sezione 2 – Analisi del trattamento;
Sezione 3 – Considerazioni su necessità e proporzionalità;
Sezione 4 – Valutazione e gestione del rischio;
Sezione 5 – Coinvolgimento delle parti interessate (parere del DPO e posizione degli interessati o dei loro rappresentanti, ovvero motivazione della mancata consultazione);
Sezione 6 – Conclusione e decisione sulla praticabilità del trattamento, con quattro opzioni: (a) abbandono del trattamento; (b) consultazione preventiva all’Autorità di controllo; (c) prosecuzione come pianificata; (d) prosecuzione subordinata alle modifiche necessarie a mitigare i rischi identificati.
La pubblicazione di un modello DPIA da parte dell’EDPB è senz’altro rassicurante, nella misura in cui offre ai titolari uno strumento uniforme e coerente con le aspettative delle Autorità di controllo, in un contesto oggi caratterizzato da una marcata frammentazione fra le metodologie e i modelli proposti dalle singole Autorità nazionali (richiamati nell’Allegato 1 del documento esplicativo).
A parere di chi scrive, alcuni aspetti meriterebbero di essere riconsiderati in ottica migliorativa.
In primo luogo, si rileva l’assenza di una metodologia di valutazione del rischio predefinita, la cui scelta è rimessa al titolare. Un livello minimo di standardizzazione, anche se non vincolante, gioverebbe alla coerenza e alla comparabilità dei risultati: attualmente, due organizzazioni che valutano i rischi derivanti dal medesimo trattamento potrebbero giungere a conclusioni sensibilmente diverse, a seconda del metodo adottato.
In secondo luogo, l’usabilità. Il modello segmenta la descrizione del trattamento in riquadri predefiniti, con un risultato volutamente ridondante (come dichiarato dall’EDPB nel documento esplicativo). Questo tipo di impianto può funzionare per casi d’uso semplici, ma in scenari complessi rischia di produrre frammentazione, con continui rimandi incrociati che rendono difficile una visione d’insieme.
Infine, la sezione rubricata “Misure che supportano il rispetto dei principi di cui all’articolo 5 (1) (a-f) GDPR” si limita sostanzialmente a elencare i principi del trattamento, senza offrire indicazioni operative su come declinarli nella pratica. Allo stesso modo, sarebbe stato utile fornire indicazioni pratiche per la compilazione della sezione dedicata alle misure di privacy by design e di privacy by default e Art 25 del GDPR.
Non mancano, per contro, aspetti positivamente apprezzabili.
Tra questi, la valutazione separata del rischio intrinseco e del rischio operativo, che nella prassi vengono spesso sovrapposti. Il primo risponde alla domanda: quali rischi presenta il trattamento quando tutto funziona come progettato? Il secondo impone di chiedersi cosa accada quando qualcosa non va come previsto. Si tratta di rischi diversi, che richiedono mitigazioni diverse: il rischio intrinseco si riduce intervenendo sul design del trattamento, quello operativo agendo sui controlli.
Altrettanto utile è la richiesta di tracciare lo stato di implementazione delle misure (pianificata, parzialmente implementata, implementata) e di documentare il parere del DPO e dei portatori di interesse: elementi che rendono la DPIA auditabile e la proiettano in un piano d’azione dinamico.
Interessante è anche l’attenzione all’uso secondario dei dati, tema centrale in contesti come quello della ricerca scientifica e ripreso dal Digital Omnibus in chiave di condivisione e valorizzazione dei dati quale leva di efficienza sociale ed economica.
Un ulteriore elemento distintivo è la presenza di campi che richiedono una descrizione più tecnica che narrativa degli elementi del trattamento. Questo tratto spoglia la DPIA da un abito squisitamente legale per farne un documento di natura tecnico-operativa, metodologicamente allineato alla (Foundamental Right Impact Assessment) prevista dall’AI Act, in linea con il programma di azione dell’Ufficio IA della Commissione europea. Quest’ultimo, come dichiarato dal Segretario dell’EDPB in occasione della riunione plenaria del 7-8 ottobre 2025, ha scartato l’ipotesi di un modello congiunto DPIA/FRIA, anche in ragione delle preferenze espresse dagli stakeholder.
Sembra, quindi, che i sostenitori di un modello unico, che integri gli scenari di rischio propri del GDPR con una valutazione che copra l’intero spettro dei diritti fondamentali e che preveda misure di mitigazione specifiche per i rischi derivanti dall’utilizzo di sistemi di IA (qualità dei dati di training, trasparenza del processo di generazione degli output, correzione dei bias, supervisione umana, etc.) non vedranno realizzate le proprie aspettative. L’Ufficio IA, infatti, ha avviato i lavori – che sarebbero già in fase avanzata – per lo sviluppo di un modello di FRIA separato, ma complementare al modello di valutazione d’impatto ai sensi dell’art. 35 del GDPR. A tal fine, l’EDPB manterrà un coordinamento costante con la Commissione affinché i due modelli siano funzionalmente compatibili e integrabili attraverso reciproci richiami, in ottica di semplificazione e riduzione degli oneri di compliance.
Si attendono ulteriori sviluppi a riguardo, sui quali non mancheremo di aggiornare i nostri utenti.
