1. Il fatto
Lo European Data Protection Board ha pubblicato il 14 aprile 2026, sottoponendolo a consultazione fino al 9 giugno 2026, il primo modello armonizzato di Data Protection Impact Assessment a vocazione europea, formalmente adottato in versione 1.0 il 10 marzo 2026 e accompagnato da un explainer di pari rilevanza dottrinale. L’iniziativa si inserisce nell’attuazione della Dichiarazione di Helsinki del 2 luglio 2025 e mira a superare l’attuale frammentazione delle prassi nazionali, mediante un format documentale comune che, all’esito della consultazione, sarà adottato dalle Autorità di controllo come standard unico o come meta-template di compatibilità. Pur restando uno strumento attualmente facoltativo, il modello è destinato a diventare il riferimento operativo nello Spazio economico europeo e, secondo le proposte legislative in itinere, potrebbe in futuro assumere natura cogente.
2. L’architettura: sette blocchi e cinquantuno campi
Il modello articola la valutazione d’impatto in sette sezioni numerate da 0 a 6, per un totale di cinquantuno campi progressivi, ciascuno costruito per garantire la copertura tracciabile degli elementi prescritti dall’art. 35, par. 7, GDPR.
La sezione 0 – Overview – identifica titolare, contitolari ai sensi dell’art. 26 GDPR e responsabili ex art. 28 GDPR, denominazione del trattamento (allineata al registro ex art. 30 GDPR) e pianificazione temporale; la sotto-sezione 0.5, dedicata alla technical sheet della DPIA, richiede la versione del template, il registro storico delle modifiche, la composizione del team di valutazione (con suggerimento di una matrice RACI), gli standard e i codici di riferimento, le ragioni della valutazione, il perimetro di scoping, la data di completamento e quella di validazione formale resa da un dirigente apicale.
La sezione 1 – descrizione sistematica del trattamento – declina su quattro sotto-sezioni una rappresentazione anatomica, funzionale e infrastrutturale. La sotto-sezione 1.1 richiede l’elenco dei dati trattati, con identificazione delle categorie particolari ex artt. 9 e 10 GDPR, le finalità (anche secondarie ai sensi dell’art. 6, par. 4, GDPR), la descrizione di natura, ambito e contesto, con riferimento esplicito ai trattamenti transfrontalieri e ai trasferimenti internazionali di cui al Capo V GDPR. La sotto-sezione 1.2 impone la scomposizione del trattamento in fasi e la rappresentazione del data lifecycle – dalla raccolta alla cancellazione. La sotto-sezione 1.3 introduce, in chiave inedita per la prassi italiana, l’inventario dei supporting assets (hardware, software, API e modelli, personale, siti, asset organizzativi) come vettori di valore e di rischio, con esplicita convergenza con la metodologia ISO/IEC 27005.
La sezione 2 affronta liceità, minimizzazione e qualità del dato. La sotto-sezione 2.1.1 esige l’analisi della base giuridica ex art. 6 GDPR puntualmente correlata a ciascuna finalità – disinnescando la tendenza a base giuridica cumulativa – e l’art. 9, par. 2, GDPR per le categorie particolari. La sotto-sezione 2.2 articola minimizzazione, retention e qualità del dato, quest’ultima richiesta in forma di metriche, requisiti o soglie quantitative. La sotto-sezione 2.3 declina cinque tipologie di misure: principi ex art. 5 GDPR; diritti degli interessati ex artt. 12-22 GDPR; consenso, rapporti con i responsabili e trasferimenti internazionali (artt. 7, 28 GDPR e Capo V); privacy by design e by default ex art. 25 GDPR; sicurezza ex art. 32 GDPR.
La sezione 3 attua l’art. 35, par. 7, lett. b), GDPR. La sotto-sezione 3.1 isola gli impatti del trattamento sui diritti e sulle libertà degli interessati assumendo che tutto funzioni come progettato. Le sotto-sezioni 3.2 e 3.3 declinano i test di necessità e proporzionalità, con richiami puntuali ai Toolkit dell’EDPS.
La sezione 4 gestisce il rischio incidentale: 4.1.1 isola le minacce derivanti da malfunzioni, errori e attacchi (configurazioni errate, errori operativi, vulnerabilità non patchate, abuso interno, phishing, ransomware); 4.1.2 richiede l’esplicitazione del metodo di assessment; 4.1.3 conduce alla valutazione del rischio inerente con la formula canonica probabilità per severità, integrata da fattori modulanti (aggravanti come vulnerabilità degli interessati, attenuanti come scelte progettuali). La sotto-sezione 4.2 articola misure aggiuntive, rischio residuo e piano operativo di implementazione.
La sezione 5 raccoglie il parere del DPO e il punto di vista degli interessati ex art. 35, paragrafi 2 e 9, GDPR.
La sezione 6 chiude con la decisione formale fra quattro opzioni: abbandono, consultazione preventiva ex art. 36 GDPR, avvio del trattamento, avvio condizionato a modifiche progettuali.
3. Le novità di rilievo metodologico
Il template introduce quattro innovazioni che ne fanno qualcosa di più di una mera operazione di standardizzazione formale.
La prima, e dottrinalmente più rilevante, è la separazione strutturale fra rischio progettuale (sotto-sezione 3.1) e rischio incidentale (sotto-sezione 4.1.1). La prassi italiana tende a collassare la valutazione del rischio sulla dimensione securitaria, mutuata da ISO/IEC 27005 o da framework di cybersecurity; il modello EDPB richiede invece di tematizzare in modo autonomo, e prima del risk assessment incidentale, i rischi che derivano dalle scelte di progettazione del trattamento – identificativi univoci, durata della retention, estensione del dataset, opacità del modello – assumendo che tutto funzioni perfettamente. La distinzione codifica per via documentale un orientamento dottrinale e giurisprudenziale già consolidato (si veda, in particolare, CGUE 7 dicembre 2023, causa C-634/21, SCHUFA Holding) ma frequentemente trascurato dagli operatori.
La seconda novità è l’introduzione di un marcatore di implementation status su scala ternaria – planned (pianificata), partially implemented (parzialmente operativa), implemented (operativa con evidenze) – applicato a ciascuna misura nella sotto-sezione 2.3 e nelle misure aggiuntive della sotto-sezione 4.2.1. Lo status è elemento di onestà documentale: nella valutazione del rischio residuo soltanto le misure effettivamente operative possono essere fattorizzate, mentre quelle meramente pianificate non possono giustificare un giudizio di basso rischio. Si tratta di un principio già affermato in via interpretativa dalla prassi sanzionatoria del Garante ma ora formalizzato nella struttura documentale.
La terza novità attiene alla sotto-sezione 5.1, che impone al titolare non soltanto di raccogliere il parere del DPO – obbligo già previsto dall’art. 35, par. 2, e art. 39, par. 1, lett. c), GDPR – ma di documentare in che modo tale parere sia stato implementato. Si traduce così in evidenza documentale tracciabile l’effettività dell’art. 38 GDPR sull’indipendenza funzionale del Responsabile della Protezione dei Dati: un eventuale rigetto immotivato di rilievi sostanziali, o un accoglimento sistematico di pareri meramente formali, diventa visibile in sede di audit.
La quarta novità è la formalizzazione della decisione finale (sezione 6) fra quattro opzioni esplicite, fra cui l’avvio condizionato del trattamento subordinato a specifiche modifiche o misure cross-referenziate al piano d’azione della sotto-sezione 4.2. La DPIA è così codificata come strumento iterativo, capace di modificare il design del trattamento prima della sua operatività, e non come mero atto compilativo successivo.
4. Indicazioni operative
Il modello non rivoluziona la sostanza della valutazione, ma standardizza il contenitore documentale e introduce una disciplina metodologica destinata a incidere sulle pratiche di compliance. Per il DPO e per i consulenti privacy l’invito è duplice: prendere familiarità immediata con il template, sperimentandolo nelle DPIA in corso, e intervenire nella consultazione pubblica entro il 9 giugno 2026, segnalando in particolare le aree di affinamento – coordinamento con la FRIA ex art. 27 AI Act, modalità di consultazione degli interessati, integrazione settoriale, struttura del riesame ex art. 35, par. 11, GDPR. La qualità del modello che diventerà standard pratico europeo dipenderà in misura non marginale dalla qualità dei contributi consultivi.
