Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Valutazione d’Impatto sulla Protezione dei Dati (DPIA): chi se ne occupa?

Recentemente, una decisione del Garante per la Privacy (provvedimento n. 202 del 10 aprile 2025)[1] ci aiuta a capire meglio chi ha il compito di preparare la Valutazione d’Impatto sulla Protezione dei Dati, conosciuta anche come DPIA, disciplinata dall’art. 35 del Regolamento (UE) 2016/679.

In questo caso specifico, il Garante Privacy ha censurato la condotta del titolare del trattamento che ha demandato al DPO l’onere di redigere in prima persona e sottoscrivere la DPIA. Tale agire è stato qualificato come causa di un grave conflitto di interessi, in quanto il DPO si troverebbe a svolgere contemporaneamente il ruolo di autore del documento e di soggetto deputato a esprimere un parere indipendente sullo stesso e a controllarne l’implementazione.

In altre parole, questa sovrapposizione di ruoli compromette la possibilità per il DPO di fornire un contributo imparziale e privo di condizionamenti.

L’indipendenza del DPO è infatti un pilastro fondamentale per garantire l’efficacia del sistema di protezione dei dati, e qualsiasi situazione che possa minare tale indipendenza deve essere evitata.

Chi si occupa della Valutazione d’Impatto sulla Protezione dei Dati (DPIA)?

Per capire meglio chi si occupa della DPIA (Valutazione d’Impatto sulla Protezione dei Dati), dobbiamo guardare al Regolamento UE 679/2016, in particolare gli articoli 38 (paragrafo 6) e 39 (paragrafo 1, lettera c).

Questi articoli spiegano bene il ruolo e le funzioni del DPO:

  • Il DPO deve dare pareri (cioè, consigli) sulla DPIA quando gli viene chiesto.
  • Deve anche supervisionare (cioè, controllare) che la DPIA venga fatta correttamente.
  • Ma è fondamentale che il DPO, mentre svolge il suo lavoro, non abbia altri compiti che possano creare un conflitto di interessi.

Il ruolo del DPO si basa proprio sull’indipendenza e l’autonomia.

Chi è il vero responsabile della DPIA?

La responsabilità di redigere materialmente la DPIA spetta solo al Titolare del Trattamento dei Dati. Il Titolare del Trattamento è l’azienda o l’ente che decide come e perché vengono trattati i dati personali.

Anche se il Titolare può farsi aiutare da altre figure (sia interne all’azienda che esterne, come consulenti), la responsabilità finale della correttezza e della completezza della DPIA è sempre e solo sua.

Non rispettare questa regola significa rischiare di “scaricare” questa responsabilità sul DPO, cosa che non è permessa. Questo va contro il principio di accountability, che richiede al Titolare di dimostrare di essere in conformità con la disciplina contenuta nel Regolamento Generale sulla Protezione dei Dati (GDPR).