Comprendere quando la DPIA è obbligatoria è uno degli adempimenti più critici per qualsiasi organizzazione che tratta dati personali. A San Marino, dove la normativa di riferimento è sia la Legge 171/2018 sia il Regolamento UE 2016/679 (GDPR), la Data Protection Impact Assessment — comunemente nota come DPIA o Valutazione d’Impatto sulla Protezione dei Dati — rappresenta uno strumento fondamentale di accountability e gestione del rischio. Questa guida chiarisce i casi in cui la DPIA è obbligatoria, come si svolge e perché adottare un approccio strutturato fa la differenza tra una compliance formale e una compliance sostenibile.
Che cos’è la DPIA e a cosa serve
La DPIA è una procedura di valutazione preventiva che il titolare del trattamento è tenuto a svolgere prima di avviare un’attività di trattamento che potrebbe comportare un rischio elevato per i diritti e le libertà delle persone fisiche. Non si tratta di un documento fine a sé stesso, ma di un processo decisionale strutturato che consente di identificare i rischi, valutarne la probabilità e la gravità, e definire le misure tecniche e organizzative adeguate a mitigarli.
L’obiettivo è chiaro: la decisione deve precedere la tecnologia. Avviare un trattamento ad alto rischio senza aver svolto una DPIA non è solo una violazione normativa — è una scelta gestionale priva di fondamento razionale.
DPIA quando è obbligatoria: i criteri del GDPR
L’articolo 35 del GDPR stabilisce che la DPIA è obbligatoria quando un trattamento «può presentare un rischio elevato per i diritti e le libertà delle persone fisiche». Il regolamento individua tre categorie di trattamento per le quali la valutazione d’impatto è sempre richiesta:
- Valutazione sistematica e automatizzata di aspetti personali, inclusa la profilazione, che produce effetti giuridici o incide significativamente sulle persone
- Trattamento su larga scala di categorie particolari di dati (dati sensibili, dati relativi a condanne penali e reati)
- Sorveglianza sistematica su larga scala di zone accessibili al pubblico, anche tramite videosorveglianza
Oltre a queste tre ipotesi esplicite, il Garante europeo per la protezione dei dati (EDPB) ha elaborato nove criteri che, se soddisfatti in combinazione (generalmente due o più), rendono la DPIA necessaria:
- Valutazione o scoring, inclusa la profilazione
- Decisioni automatizzate con effetti giuridici significativi
- Monitoraggio sistematico degli interessati
- Trattamento di dati sensibili o di natura altamente personale
- Trattamento di dati su larga scala
- Combinazione o raffronto di set di dati provenienti da più fonti
- Trattamento di dati relativi a soggetti vulnerabili (minori, dipendenti, pazienti)
- Uso innovativo di tecnologie o applicazione di nuove soluzioni tecnologiche o organizzative
- Trattamento che impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio
Il contesto normativo a San Marino: Legge 171/2018 e GDPR
Le organizzazioni operative nella Repubblica di San Marino devono tenere conto di un doppio binario normativo. La Legge 171/2018 disciplina il trattamento dei dati personali nell’ordinamento sammarinese, recependo i principi fondamentali del GDPR e prevedendo obblighi analoghi in materia di valutazione d’impatto. Allo stesso tempo, le aziende che trattano dati di cittadini europei o che operano in contesti transfrontalieri sono soggette direttamente al Regolamento UE 2016/679.
Questo significa che un’azienda con sede a San Marino che offre servizi a clienti italiani o europei, o che utilizza fornitori cloud europei, deve garantire la conformità a entrambi gli ordinamenti. La DPIA, in questo scenario, non è solo un obbligo formale: è uno strumento di governo del rischio a duplice valenza regolatoria.
Quando la DPIA NON è obbligatoria ma resta consigliata
Esistono trattamenti per i quali la DPIA non è formalmente obbligatoria ma rimane una buona pratica. In particolare, quando un trattamento è simile per natura, finalità e contesto a uno già valutato, è possibile fare riferimento alla DPIA precedente. Tuttavia, qualsiasi variazione significativa — un nuovo fornitore, una nuova tecnologia, un ampliamento della base dati — impone una rivalutazione.
Alcune autorità di controllo nazionali hanno pubblicato liste positive (trattamenti per i quali la DPIA è sempre obbligatoria) e liste negative (trattamenti per i quali non lo è). In assenza di indicazioni specifiche dall’Autorità sammarinese per un determinato caso, il criterio guida resta la valutazione del rischio reale per gli interessati.
Come si struttura una DPIA: le fasi operative
Una DPIA ben costruita non è un documento statico, ma un processo articolato in fasi distinte:
- Descrizione sistematica del trattamento: finalità, categorie di dati, soggetti coinvolti, flussi, destinatari, tempi di conservazione
- Valutazione della necessità e proporzionalità: il trattamento è necessario rispetto all’obiettivo? Esistono alternative meno invasive?
- Identificazione e valutazione dei rischi: scenari di rischio per i diritti e le libertà degli interessati, probabilità e gravità
- Misure di mitigazione: controlli tecnici (cifratura, pseudonimizzazione, accessi limitati) e organizzativi (policy, formazione, procedure di breach)
- Consultazione del DPO: se nominato, il Responsabile della Protezione dei Dati deve essere coinvolto attivamente
- Eventuale consultazione preventiva dell’Autorità: se i rischi residui restano elevati nonostante le misure adottate
Il risultato finale deve essere un documento verificabile, aggiornato nel tempo e coerente con il registro dei trattamenti e con le policy interne dell’organizzazione.
Errori frequenti nella gestione della DPIA
Nella pratica consulenziale, emergono alcune criticità ricorrenti che compromettono l’efficacia della valutazione d’impatto:
- Svolgere la DPIA dopo l’avvio del trattamento, anziché prima
- Produrre documentazione generica, non ancorata al trattamento specifico
- Non coinvolgere le funzioni operative (IT, HR, Legal) nella fase di analisi
- Non aggiornare la DPIA al variare delle condizioni del trattamento
- Trattare la DPIA come un obbligo formale anziché come uno strumento decisionale
DPIA e sistemi AI: nuovi scenari di obbligatorietà
L’adozione crescente di sistemi di intelligenza artificiale introduce nuovi casi in cui la DPIA diventa obbligatoria. I sistemi AI che effettuano profilazione, che automatizzano decisioni su persone fisiche o che processano dati biometrici rientrano quasi sempre nei criteri che attivano l’obbligo di valutazione d’impatto. In parallelo, l’AI Act europeo introduce obblighi di risk assessment che si sovrappongono e integrano quelli previsti dal GDPR, richiedendo un approccio coordinato tra privacy governance e AI governance.
Perché affidarsi a un consulente specializzato a San Marino
Gestire correttamente la DPIA richiede competenze trasversali: conoscenza normativa (GDPR, Legge 171/2018, AI Act), capacità di analisi del rischio e visione operativa dei processi aziendali. Un approccio frammentato — in cui aspetti legali, tecnici e organizzativi vengono gestiti separatamente — produce documenti incoerenti e poco utili in caso di controllo o incidente.
Un supporto integrato garantisce invece un percorso coerente: dalla mappatura dei trattamenti alla redazione della DPIA, dall’aggiornamento del registro alla formazione delle funzioni interne. L’obiettivo non è solo produrre documentazione, ma trasferire metodo e consapevolezza all’organizzazione, rendendola autonoma e resiliente nel tempo.
Hai dubbi su quando la DPIA è obbligatoria nella tua organizzazione o hai bisogno di supporto per avviare una valutazione d’impatto conforme? Contatta B&P Keystone per una consulenza iniziale: analizziamo insieme il tuo perimetro di trattamento e definiamo i passi operativi concreti per una compliance sostenibile a San Marino e oltre.