RIVISTA DI SCIENZE UMANE E SOCIALI
ETHICA SOCIETAS-Rivista di scienze umane e sociali
Massimiliano Mancini NOTIZIE Privacy

LA VALUTAZIONE D’IMPATTO NON PUÒ DURARE SEMPRE MA DEVE AVERE SEMPRE UNA SCADENZA, Massimiliano Mancini

Image default

L’accountability è garantita dall’aggiornamento perché anche se non cambia il sistema di videosorveglianza può variare il contesto ripreso

Massimiliano Mancini

Abstract: La Valutazione d’Impatto sulla Protezione dei Dati (DPIA) è uno strumento essenziale del sistema di tutela delineato dal Regolamento (UE) 2016/679 per i trattamenti che presentano un rischio elevato per i diritti e le libertà delle persone fisiche. Il contributo analizza la necessità giuridica dell’aggiornamento della DPIA quale espressione del principio di accountability, evidenziandone la natura dinamica e processuale. Con particolare riferimento ai trattamenti di videosorveglianza e a quelli effettuati per finalità di sicurezza pubblica e polizia giudiziaria, l’articolo mostra come la variazione del contesto, delle finalità o delle condizioni di trattamento possa incidere sulla legittimità dello stesso, fino a determinare il coinvolgimento di categorie particolari di dati personali. La DPIA è pertanto ricostruita come processo continuo di gestione del rischio, la cui mancata attualizzazione comporta rilevanti profili di non conformità e responsabilità per il titolare del trattamento.

Keywords: #DPIA #ValutazioneImpattoPrivacy #GDPR #Accountability #ProtezioneDatiPersonali #Videosorveglianza #DataProtection #PrivacyCompliance #CategorieParticolariDiDati #SicurezzaDeiDati #DPO #RiskAssessment #PrivacyByDesign #EDPB #GarantePrivacy #TrattamentoDati #CyberSecurity #ComplianceNormativa #MassimilianoMancini #ethicasocietas #ethicasocietasrivista #rivistascientifica #scienzeumane #scienzesociali #ethicasocietasupli #unionepolizialocaleitaliana

english version

La valutazione d’impatto – DPIA

La Valutazione d’Impatto sulla Protezione dei Dati (Data Protection Impact Assessment – DPIA), è un adempimento che è richiesto come regola generale quando si impieghino trattamenti che impiegano nuove tecnologie che possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche (art. 35 Reg. UE 2016/679 GDPR[1] considerando 85[2]) e ciò vale anche per i trattamenti di polizia giudiziaria e di pubblica sicurezza (art. 23 d. lgs. 51/2018[3] considerando 53 Dir. UE 2016/680[4]) .

In ogni caso è sempre obbligatoria in tutti i trattamenti che impieghino qualsiasi sistema di videosorveglianza  (Linee Guida EDPB 3/2019 punto 2[5]) su aree pubbliche.

L’aggiornamento della DPIA non è quindi una facoltà, ma una necessità giuridica e operativa, pena l’inefficacia della valutazione e l’esposizione del titolare del trattamento a rischi rilevanti, anche sanzionatori.

Il fondamento normativo dell’aggiornamento della DPIA

L’aggiornamento della DPIA come di tutte le misure di protezione dei dati personali è alla base del rispetto del principio di accountability (art. 24 par. 1 GDPR[6] e art. 5 par. 2 GDPR[7]), è necessario quindi svolgere ed essere in grado di dimostrare che si esegua regolarmente la verifica della sicurezza del trattamento e l’eventuale adeguamento delle conseguenti misure di mitigazione del rischio in tutti i casi e per tutte le finalità, anche per i trattamenti esclusi dal GDPR (art. 15 d. lgs. 51/2018[8]).

In particolare, l’aggiornamento della valutazione d’impatto sulla protezione dei dati è richiesta dalle norme vigenti per verificare che il trattamento dei dati personali sia effettuato conformemente alle prescrizioni qui contenute e per controllare se insorgano variazioni del rischio (art. 35 par. 11 GDPR[9]).

Ciò vale anche per le finalità di prevenzione, indagine, accertamento e perseguimento di reati o di esecuzione di sanzioni penali e per la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, che sono anch’essi valutati nel presente atto, per i quali le norme prescrivono il riesame e l’aggiornamento continuo delle misure di protezione dei dati da parte del titolare del trattamento.

Ne deriva che una DPIA non aggiornata è, di fatto, giuridicamente inadeguata.

La necessità oggettiva dell’aggiornamento della DPIA

La necessità di aggiornare la DPIA non deriva solo da eventuali modifiche del sistema di videosorveglianza, che potrebbe restare immutato e non per questo restare valida la misurazione del rischio e la legitimità del trattamento valutato nella DPIA, perché potrebbero variare tanti altri elementi che possono pregiudicare la validità della DPIA come, a titolo esemplificativo:

1. Modifiche al trattamento

  • introduzione di nuove finalità;

  • ampliamento delle categorie di dati trattati;

  • coinvolgimento di nuove categorie di interessati;

  • cambiamento della base giuridica del trattamento;

  • nevessità di inviare la DPIA al garante in consultazione preventiva per variazione del rischio ovvero adozione di nuovi strumenti che la richiedono (droni, bodycam).

2. Cambiamenti tecnologici

  • adozione di nuovi software o piattaforme;

  • migrazione verso servizi cloud;

  • utilizzo di intelligenza artificiale, profilazione o sistemi decisionali automatizzati;

  • incremento di interoperabilità o interconnessione dei sistemi.

3. Evoluzione del rischio

  • aumento del volume dei dati;

  • nuovi scenari di minaccia (cyber risk, data breach);

  • esiti negativi di audit o ispezioni;

  • violazioni dei dati personali.

4. Mutamenti organizzativi o normativi

  • riorganizzazioni aziendali;

  • fusioni o esternalizzazioni;

  • nuove linee guida EDPB o provvedimenti del Garante;

  • evoluzione giurisprudenziale rilevante.

Ma, come accade frequentemente, potrebbe anche mutare nel tempo ciò che è inquadrato dallo stesso sistema di videosorveglianza. Si immagini, ad esempio, il caso in cui un garage inquadrato dalla telecamera, inizialmente valutato come legittimo e a basso rischio nell’ambito della DPIA, venga successivamente adibito a luogo di culto, come una moschea; oppure il caso in cui un locale commerciale, dopo l’approvazione della valutazione d’impatto, diventi sede di un sindacato o di un movimento politico.

In tutte queste ipotesi, la ripresa effettuata dal sistema di videosorveglianza diventerebbe illegittima, in quanto il trattamento finirebbe per coinvolgere categorie particolari di dati personali (art. 9 Reg. UE 2018/679 GDPR) rendendo illegittimo o comunque ad alto rischio il trattamento in assenza di misure adeguate da definire nella stessa DPIA.

I rischi di una DPIA non aggiornata

Una DPIA obsoleta espone l’organizzazione a molteplici rischi:

  • violazione del principio di accountability;

  • sanzioni amministrative sino a €. 10.000.000 (art. 83 Reg. UE 2016/679[10]);

  • risarcimento del danno civile ai soggetti ripresi (art. 82 Reg. UE 2016/679)[11]);

  • maggiore responsabilità in caso di data breach;

  • perdita di efficacia delle misure di sicurezza (art. 32 Reg. UE 2016/679)[12]);

  • danno reputazionale e perdita di fiducia degli interessati.

Le Autorità di controllo hanno più volte chiarito che una DPIA “datata” equivale, nei fatti, a una DPIA inesistente.

DPIA come processo continuo, non come documento

La DPIA deve essere concepita come un processo ciclico, integrato nei sistemi di gestione della compliance e della sicurezza delle informazioni. Un approccio efficace prevede:

  • revisioni periodiche programmate;

  • aggiornamenti “event-driven”;

  • tracciabilità delle decisioni;

  • integrazione con risk assessment e ISO/IEC 27001.

Conclusioni

L’aggiornamento della DPIA costituisce, pertanto, una garanzia di affidabilità e di regolarità del trattamento, espressione concreta del principio di accountability (art. 24, par. 2, Reg. UE 2016/679). Ciò vale anche nel caso in cui nulla sia mutato e l’aggiornamento periodico si limiti a confermare le valutazioni già effettuate.

Proprio per questa ragione, la DPIA deve prevedere una scadenza definita ed esplicita, che consenta una verifica periodica dell’attualità e dell’adeguatezza della valutazione del rischio, anche come processo permanente di verifica dell’adeguateza come prevede la normativa (art. 32 p. 1 lett. d Reg. UE 2016/679[11]).

Aggiornare la DPIA significa governare consapevolmente il rischio, dimostrare conformità sostanziale al GDPR e tutelare in modo effettivo i diritti e le libertà degli interessati. In un contesto caratterizzato da rapida evoluzione tecnologica e normativa, una DPIA statica non è solo inutile, ma pericolosa.

La vera conformità non risiede nell’aver “fatto” una DPIA, ma nell’averla mantenuta viva.

NOTE:

[1] Reg. (UE) (UE) 2016/679 GDPR, art. 35 (Valutazione d’impatto sulla protezione dei dati): «1. Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi. […omissis…].»

[2] Reg. (UE) 2016/679 GDPR, considerando 85: «Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata. Pertanto, non appena viene a conoscenza di un’avvenuta violazione dei dati personali, il titolare del trattamento dovrebbe notificare la violazione dei dati personali all’autorità di controllo competente, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che il titolare del trattamento non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione, è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Oltre il termine di 72 ore, tale notifica dovrebbe essere corredata delle ragioni del ritardo e le informazioni potrebbero essere fornite in fasi successive senza ulteriore ingiustificato ritardo.»

[3] D. lgs. 51/2018, art. 23 (Valutazione d’impatto sulla protezione dei dati): «1. Se il trattamento, per l’uso di nuove tecnologie e per la sua natura, per l’ambito di applicazione, per il contesto e per le finalità, presenta un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento, prima di procedere al trattamento, effettua una valutazione del suo impatto sulla protezione dei dati personali.[…omissis…].»

[4] Direttiva (UE) 2016/680, considerando 53: «La tutela dei diritti e delle libertà delle persone fisiche con riguardo al trattamento dei dati personali richiede l’adozione di misure tecniche e organizzative adeguate per garantire il rispetto delle disposizioni della presente direttiva. L’attuazione di tali misure non dovrebbe dipendere unicamente da considerazioni economiche. Al fine di poter dimostrare la conformità̀ con la presente direttiva, il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che aderiscano in particolare ai principi della protezione dei dati fin dalla progettazione e della protezione dei dati per impostazione predefinita. Se il titolare del trattamento ha effettuato una valutazione d’impatto sulla protezione dei dati ai sensi della presente direttiva, è opportuno prenderne in considerazione i risultati in fase di sviluppo delle misure e delle procedure suddette. Le misure potrebbero consistere, tra l’altro, nell’utilizzo della pseudonimizzazione il più̀ presto possibile. L’utilizzo della pseudonimizzazione ai fini della presente direttiva può essere strumentale per agevolare, in particolare, la libera circolazione dei dati personali all’interno dello spazio di libertà, sicurezza e giustizia.».

[5] EDPB-European Data Protection Board. Linee Guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video. Versione 2.0 29 gennaio 2020. Punto 2 Ambito di applicazione «7. La sorveglianza sistematica e automatizzata di uno spazio specifico con mezzi ottici o audiovisivi per lo più a scopo di protezione della proprietà o per proteggere la vita e la salute delle persone è divenuta un fenomeno significativo dei nostri giorni. Questa attività comporta la raccolta e la conservazione di informazioni grafiche o audiovisive su tutte le persone che entrano nello spazio monitorato identificabili in base al loro aspetto o ad altri elementi specifici. L’identità di tali persone può essere stabilita sulla base delle informazioni così raccolte. Questo tipo di sorveglianza consente inoltre un ulteriore trattamento dei dati personali per quanto riguarda la presenza e il comportamento delle persone nello spazio considerato. Il rischio potenziale di un uso improprio di tali dati aumenta in rapporto alla dimensione dello spazio monitorato e al numero di persone che lo frequentano. Ciò si riflette nel RGPD all’articolo 35 paragrafo 3 lettera c) che impone l’esecuzione di una valutazione d’impatto sulla protezione dei dati in caso di sorveglianza sistematica su vasta scala di un’area accessibile al pubblico e all’articolo 37 paragrafo 1 lettera b) che impone ai responsabili del trattamento di designare un responsabile della protezione dei dati se la tipologia di trattamento per sua natura richiede il monitoraggio regolare e sistematico degli interessati.».

[6]  Reg. (UE) (UE) 2016/679 GDPR, art. 24 (Responsabilità del titolare del trattamento): «[…] Dette misure sono riesaminate e aggiornate qualora necessario.».

[7]  Reg. (UE) (UE) 2016/679 GDPR, art. 5 (Principi applicabili al trattamento di dati personali): «2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»).

[8] D. lgs. 51/2018 art. 15 (Obblighi del titolare del trattamento): «1. Il titolare del trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche, mette in atto misure tecniche e organizzative adeguate per garantire che il trattamento sia effettuato in conformità alle norme del presente decreto. 2. Le misure di cui al comma 1 sono riesaminate e aggiornate qualora necessario e, ove proporzionato rispetto all’attività di trattamento, includono l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento.».

[9] Reg. (UE) (UE) 2016/679 GDPR, art. 35 (Responsabilità del titolare del trattamento): «11. Se necessario, il titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d’impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento.».

[10] Reg. UE/2016/679 GDPR, art.83 (Condizioni generali per infliggere sanzioni amministrative pecuniarie): «4. In conformità del paragrafo 2 la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR o per le imprese fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente se superiore: a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8 11 da 25 a 39 42 e 43 […omissis…].»

[11] Reg. UE/2016/679 GDPR, art.82 (Diritto al risarcimento e responsabilità) «1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.[…omissis…].»

[12] Reg. UE/2016/679 GDPR, art.32 (Sicurezza del trattamento): «1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, […omissis…].»

[13] Reg. UE/2016/679 GDPR, art.32: «1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: […omissis…] d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.»

ULTIMI 5 ARTICOLI DELLO STESSO AUTORE

IL FEMMINICIDIO DEL COMANDANTE CHE UCCIDE LA VIGILESSA

LA MEMORIA DELLA PRIMA GIORNALISTA INVESTIGATIVA

UNA SVOLTA STORICA: LA LEGGE 181/2025 RICONOSCE LA SPECIFICITÀ DEL FEMMINICIDIO

23/11/1980 45 ANNI FA L’IRPINIA CADDE E TUTTA LA NAZIONE SI SCOPRÌ FRAGILE

CONDANNATO PER MOBBING IL COMUNE DI SANT’EGIDIO ALLA VIBRATA (TE)

ULTIMI 5 ARTICOLI SULLA PRIVACY

ILLECITE LE FOTOTRAPPOLE CHE REGISTRANO LOCALMENTE ANCHE IN MANIERA CRIPTATA

LA VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI-DPIA

LA VALUTAZIONE D’IMPATTO NON PUÒ ESSERE UN PRODOTTO COMMERCIALE

L’OBBLIGO DELLA FRIA PER LA POLIZIA LOCALE

PILLOLE DI PRIVACY PER GLI ENTI PUBBLICI CON AGOSTINO GHIGLIA [CON VIDEO]

ULTIMI 5 ARTICOLI PUBBLICATI

DNA E PROVA SCIENTIFICA IN AULA

IL RUOLO DELLA POLIZIA LOCALE NEL CONTRASTO DEGLI ABUSI SUGLI ANIMALI

MADURO A MANHATTAN: QUANDO GIUSTIZIA E GEOPOLITICA SI INTRECCIANO

LA CRIMINALITÀ ORGANIZZATA NEGLI ENTI LOCALI, TRA LEGALITÀ APPARENTE E ASSENZA DI CONTROLLI

LE AGGRESSIONI AL PERSONALE SANITARIO TRA TUTELA PENALE E RESPONSABILITÀ ORGANIZZATIVA

Ethica Societas è una testata giornalistica gratuita e no profit edita da una cooperativa sociale onlus
Copyright Ethica Societas, Human&Social Science Review © 2026 by Ethica Societas UPLI onlus.
ISSN 2785-602X. Licensed under CC BY-NC 4.0

Related posts

LA DISUGUAGLIANZA SOCIALE È UN VANTAGGIO PER POCHI CHE PAGHIAMO TUTTI, Francesco Mancini

@Direttore

L’IDENTITÀ INDIVIDUALE NELLA SOCIETÀ TECNOCRATICA, Lorenzo Tamos

@Direttore

LA CORTE COSTITUZIONALE ACCOGLIE LA RICHIESTA DEL TRIBUNALE DI FIRENZE (Sentenza n. 46 del 22.03.2024), Luigi De Simone

Luigi De Simone