La valutazione d'impatto sulla protezione dei dati: l'analisi preventiva dei rischi di un trattamento ad alto rischio per gli interessati (art. 35 GDPR).

Descrizione del trattamento, valutazione di necessità e proporzionalità, valutazione dei rischi e misure per mitigarli.

Cosa c'entra la privacy by design?

La DPIA attua la protezione dei dati fin dalla progettazione (art. 25): le tutele vanno pensate quando si progetta il trattamento, non dopo.

Valutazione d'impatto sulla protezione dei dati (DPIA)

Q: Quando è obbligatoria?

Per trattamenti che possono presentare un rischio elevato: profilazione con effetti significativi, dati particolari o penali su larga scala, monitoraggio sistematico su larga scala.

← Torna a Casi pratici applicati

Ultimo aggiornamento: 17 Giugno 2026

Fonte: Normattiva.it · Gazzetta Ufficiale

Indice

Testo dell'articolo
Domande frequenti
Vedi anche

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.

In sintesi

Cos’è: l’analisi preventiva dei rischi di un trattamento ad alto rischio per gli interessati (art. 35 GDPR).
Quando: obbligatoria quando il trattamento può presentare un rischio elevato.
Contenuto: descrizione del trattamento, necessità e proporzionalità, rischi e misure.
Privacy by design: la DPIA è parte della protezione dei dati fin dalla progettazione (art. 25).

Cos’è la DPIA

La valutazione d’impatto sulla protezione dei dati (DPIA, dall’inglese Data Protection Impact Assessment) è l’analisi preventiva con cui il titolare valuta i rischi di un trattamento per i diritti e le libertà delle persone e individua le misure per mitigarli (art. 35 GDPR). Va svolta prima di avviare il trattamento, quando questo può presentare un rischio elevato.

Quando è obbligatoria

La DPIA è richiesta in particolare nei casi di: valutazione sistematica e globale di aspetti personali basata su trattamento automatizzato (profilazione) con effetti significativi; trattamento su larga scala di dati particolari (salute, opinioni, ecc.) o relativi a condanne penali; monitoraggio sistematico su larga scala di zone accessibili al pubblico. Il Garante pubblica un elenco di trattamenti che la richiedono.

Come si svolge

La DPIA contiene almeno: una descrizione sistematica del trattamento e delle sue finalità; una valutazione della necessità e proporzionalità rispetto agli scopi; una valutazione dei rischi per gli interessati; le misure previste per affrontare i rischi e dimostrare la conformità. Dove è nominato, il DPO va consultato. È un documento vivo, da rivedere se il trattamento cambia.

Il legame con privacy by design

La DPIA è strettamente collegata ai principi di protezione dei dati fin dalla progettazione e per impostazione predefinita (privacy by design e by default, art. 25 GDPR): le misure di tutela vanno pensate quando si progetta un nuovo prodotto, servizio o software, non aggiunte dopo. La DPIA è lo strumento per farlo in modo strutturato sui trattamenti rischiosi.

La consultazione preventiva

Se, nonostante le misure individuate, la DPIA indica che il trattamento presenterebbe comunque un rischio elevato, il titolare deve consultare preventivamente il Garante prima di procedere (art. 36 GDPR). È un passaggio eccezionale, ma previsto per i casi di rischio residuo non gestibile autonomamente.

Esempio pratico

Una SRL vuole introdurre un sistema di profilazione dei clienti per offerte mirate su larga scala. Prima di attivarlo svolge una DPIA: descrive il trattamento, valuta necessità e rischi (es. decisioni automatizzate), definisce misure (trasparenza, minimizzazione, possibilità di opporsi). Coinvolge il DPO e, se il rischio resta elevato, consulta il Garante.

Serve un parere sul tuo caso concreto?

Questa guida spiega la regola generale, ma ogni situazione ha le sue specificità. Per un controllo sul tuo caso puoi trovare un professionista tramite Legge in Chiaro.

Quanta IRPEF devi pagare?

Calcola l'IRPEF lorda e netta con scaglioni, aliquote e detrazioni aggiornati, per capire cosa aspettarti dal modello 730.

Apri il calcolatore IRPEF →

Domande frequenti

A cura di

Andrea Marton — Dottore in Economia e Finanza, praticante commercialista

Fondatore e responsabile editoriale di Legge in Chiaro, portale di divulgazione giuridica e fiscale gratuita su 100 testi e codici italiani. I contenuti sono curati e rivisti da un team di laureati in economia; hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.