Il 20 aprile 2026 l’EDPB ha aperto una consultazione pubblica su un modello di valutazione d’impatto sulla protezione dei dati – la DPIA prevista dall’art. 35 del GDPR. La consultazione resterà aperta fino al 9 giugno 2026, al termine della quale l’EDPB licenzierà un modello definitivo che ciascuna autorità di controllo nazionale potrà adottare come documento unico o come riferimento per i propri modelli specifici.
Il modello proposto è una tabella in formato Word, strutturata in coerenza con l’art. 35 del GDPR e con le linee guida WP248 già in vigore. Non modifica i criteri esistenti e il documento guida che l’accompagna – l’EDPB DPIA Template explainer – consente alle organizzazioni di condurre la valutazione in modo dettagliato, con indicazioni metodologiche sulla valutazione dei rischi. La domanda rilevante non è cosa contiene il modello, ma cosa diventerà.
Il problema del benchmark implicito
Fino ad oggi, le linee guida WP248 non prevedevano un modello comune di riferimento. La scelta è rimessa ai titolari, in forza del principio di accountability, a condizione che ne rispettassero gli elementi costitutivi.
Il modello proposto dall’EDPB non cambia formalmente questa impostazione. Se una o più autorità di controllo nazionali decidessero di veicolare la richiesta di consultazione preventiva, secondo il meccanismo previsto dall’art. 36 GDPR quando la DPIA indica un rischio elevato residuo, attraverso una DPIA redatta secondo il modello EDPB, o se nei propri interventi correttivi adottassero quel modello come standard di riferimento implicito, l’effetto pratico sarebbe quello di trasformare uno strumento facoltativo in un benchmark de facto. Le organizzazioni si troverebbero a dover giustificare le proprie scelte di metodo non più rispetto alla norma, ma rispetto a un formato specifico che non hanno adottato.
Le criticità del modello
Il formato one size fits all mal si concilia con la varietà dei trattamenti che possono richiedere una DPIA. Un sistema di videosorveglianza in un condominio, una piattaforma di profilazione per finalità commerciali e un sistema di intelligenza artificiale applicato alle decisioni in materia di credito hanno poco in comune, eppure tutti e tre potrebbero richiedere una valutazione d’impatto. Un modello generico, per quanto ben strutturato, non cattura questa eterogeneità.
Il punto che conta davvero
Al di là della forma, il modello contiene un messaggio che vale più della tabella stessa: la DPIA non è un adempimento burocratico. È un processo di ragionamento che il titolare compie prima di avviare un trattamento, documentando le proprie scelte in modo coerente e motivato – licità, necessità, proporzionalità, sicurezza. Ogni passaggio è l’occasione di assumere consapevolmente una responsabilità, non di compilare un campo.
Chi oggi gestisce la DPIA come una formalità da sbrigare prima dell’avvio di un progetto si espone a un rischio che non dipende dal formato scelto, ma dalla qualità del ragionamento che vi sta dietro. Il modello EDPB, con tutti i suoi limiti, questo lo ricorda.
