La DPIA (in italiano: valutazione d'impatto sulla protezione dei dati) è una procedura prevista dall'articolo 35 GDPR. Serve a valutare i rischi per i diritti e le libertà delle persone prima di iniziare un trattamento dati ad alto rischio.
Quando è obbligatoria? Il Garante italiano ha pubblicato un elenco di trattamenti che la richiedono. Tra questi, parecchi che riguardano l'IA:
- Profilazione su larga scala con effetti significativi sulle persone.
- Decisioni automatizzate con conseguenze giuridiche (credit scoring, screening CV).
- Sorveglianza sistematica (videosorveglianza intelligente, riconoscimento facciale).
- Trattamento di dati biometrici o sanitari su larga scala.
- Uso di tecnologie innovative (sì, l'IA generativa ci rientra).
La DPIA non è un modulo da compilare in 10 minuti. Una DPIA seria contiene:
- Descrizione dettagliata del trattamento.
- Valutazione di necessità e proporzionalità.
- Analisi dei rischi per gli interessati.
- Misure di mitigazione (tecniche e organizzative).
- Consultazione del DPO, se nominato.
Se la DPIA evidenzia rischi residui alti, devi consultare preventivamente il Garante. Sì, prima di partire.
Errore classico: implementare un sistema IA, poi pensare alla DPIA quando arriva il problema. Sbagliato e rischioso. La DPIA è uno strumento di progettazione, non un obbligo formale tardivo.