In sintesi
- Una valutazione d’impatto sulla privacy (in inglese Privacy Impact Assessment, PIA) è un esame strutturato del modo in cui un sistema raccoglie, utilizza, conserva e condivide dati personali, condotto prima della messa in funzione per far emergere per tempo i rischi.
- Il termine nasce nel diritto federale statunitense (l’E-Government Act del 2002) e nel settore privato indica spesso una pratica interna e volontaria.
- Un PIA non coincide con la valutazione d’impatto sulla protezione dei dati (DPIA), obbligatoria per i trattamenti ad alto rischio ai sensi dell’articolo 35 del GDPR.
- Il regolamento europeo sull’IA aggiunge una terza valutazione, quella d’impatto sui diritti fondamentali (VIDF), richiesta a determinati deployer di sistemi di IA ad alto rischio dal 2 agosto 2026.
- Uno stesso sistema di IA ad alto rischio può richiedere insieme una DPIA e una VIDF. La VIDF integra la DPIA, non la sostituisce.
Che cosa significa una valutazione d’impatto sulla privacy
Secondo la definizione del National Institute of Standards and Technology (NIST) statunitense, una valutazione d’impatto sulla privacy è un’analisi del modo in cui le informazioni vengono trattate per garantire la conformità ai requisiti giuridici, regolamentari e di policy applicabili in materia di privacy, nonché per determinarne rischi ed effetti. La nozione risale all’E-Government Act del 2002, il cui titolo II, sezione 208, imponeva alle agenzie federali statunitensi di svolgere un PIA prima di costruire o acquistare qualsiasi sistema che trattasse dati personali.
Al di là del linguaggio giuridico, l’obiettivo è semplice. Un PIA pone una domanda prima dell’avvio di un progetto: dove questo sistema potrebbe mettere a rischio i dati personali delle persone, e che cosa conviene cambiare adesso per evitarlo. Esso mappa come i dati entrano in un sistema, dove si spostano, chi può consultarli e con quali modalità vengono infine cancellati. Il risultato è un elenco documentato dei rischi e delle misure adottate per ridurli.
Una sfumatura sfugge spesso al lettore. Nel settore pubblico statunitense il PIA è un obbligo di legge. Nel settore privato si tratta perlopiù di uno strumento interno di buona prassi, privo di un fondamento normativo unico, sicché un’organizzazione può svolgere un PIA su base volontaria e restare comunque tenuta a un’altra valutazione, questa sì obbligatoria, per lo stesso progetto. È proprio in questo spazio che si collocano le due valutazioni successive, là dove il lavoro sulla privacy incontra la governance dell’IA.
PIA, DPIA e VIDF: tre valutazioni, una domanda
PIA, DPIA e VIDF vengono usati in modo intercambiabile nelle conversazioni sulla privacy, e questa abitudine diventa sempre più costosa. Le tre valutazioni condividono un fine, proteggere le persone dai pregiudizi legati al trattamento dei loro dati e dei loro diritti, ma poggiano su basi giuridiche diverse e si attivano in situazioni differenti.
La valutazione d’impatto sulla privacy è il termine ampio e originario. Comprende qualsiasi esame strutturato del rischio per la privacy ed è radicata soprattutto nella prassi federale statunitense.
La valutazione d’impatto sulla protezione dei dati è più circoscritta e più vincolante. Ai sensi dell’articolo 35 del GDPR, una DPIA è obbligatoria ogni volta che un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Deve contenere una descrizione sistematica del trattamento, una valutazione della sua necessità e proporzionalità, una stima dei rischi e le misure previste per farvi fronte.
La valutazione d’impatto sui diritti fondamentali è il pilastro più recente. Introdotta dall’articolo 27 del regolamento sull’IA, la VIDF è richiesta a determinati deployer di sistemi di IA ad alto rischio e si concentra sulle persone interessate: se il sistema le tratta in modo equo, se crea uno svantaggio sistematico e se chi ne subisce le decisioni può effettivamente contestarle.
| Valutazione | Base giuridica | Attivata da | Chi la svolge | Esito |
|---|---|---|---|---|
| PIA | E-Government Act 2002 (USA); policy interna altrove | Qualsiasi nuovo sistema che tratti dati personali | Agenzie federali USA; su base volontaria, imprese private | Rischi per la privacy documentati e misure di riduzione |
| DPIA | Articolo 35 GDPR (UE) | Trattamento con probabile rischio elevato per diritti e libertà | Titolari del trattamento | Stima dei rischi e misure di mitigazione |
| VIDF | Articolo 27 regolamento IA | Uso di determinati sistemi di IA ad alto rischio | Deployer specifici di IA ad alto rischio | Valutazione dei rischi per i diritti fondamentali, notificata all’autorità |
Quando ciascuna valutazione è obbligatoria
Quando è richiesto un PIA
Negli Stati Uniti, l’E-Government Act del 2002 obbliga le agenzie federali a svolgere un PIA prima di sviluppare o acquistare sistemi informatici che trattano dati personali. Leggi di settore aggiungono fattori scatenanti propri: l’Health Insurance Portability and Accountability Act (HIPAA) governa gli esami sulla privacy in ambito sanitario, e diverse leggi statali, tra cui il California Privacy Rights Act, richiedono valutazioni prima di certi trattamenti di dati dei consumatori. Al di fuori di questi regimi il PIA resta facoltativo, pur restando un tassello solido di qualsiasi attività di gestione del rischio.
Quando è richiesta una DPIA
Sotto il GDPR, la DPIA cessa di essere facoltativa non appena un trattamento può comportare un rischio elevato. Le autorità di controllo considerano fattori scatenanti chiari il trattamento su larga scala di dati sensibili, il monitoraggio sistematico di spazi pubblici e la profilazione sistematica con effetti giuridici o similmente rilevanti. Molti sistemi decisionali automatizzati rientrano direttamente in questa categoria, ed è il primo motivo per cui le valutazioni sull’IA e quelle sulla privacy hanno iniziato a sovrapporsi.
Quando è richiesta una VIDF
L’articolo 27 individua un insieme definito di deployer di sistemi di IA ad alto rischio: gli organismi di diritto pubblico, gli operatori privati che erogano servizi pubblici e i deployer che impiegano sistemi ad alto rischio per la valutazione del merito creditizio o per la valutazione del rischio e la tariffazione nelle assicurazioni vita e malattia. L’obbligo si applica dal 2 agosto 2026. Il deployer deve svolgere la valutazione prima del primo utilizzo, mantenerla aggiornata al mutare delle condizioni e notificarne l’esito all’autorità di vigilanza del mercato tramite il modello ufficiale.
Come una valutazione sulla privacy si collega alla governance dell’IA
Ecco ciò che le definizioni consuete tacciono: nel momento in cui dati personali attraversano un sistema di IA, un singolo progetto può attivare più valutazioni insieme. Un sistema di IA ad alto rischio che profila le persone richiederà spesso una DPIA, perché tratta dati personali ad alto rischio, e una VIDF, perché è un impiego di IA ad alto rischio che ricade nell’articolo 27.
Le due non costituiscono un doppione, e l’una non annulla l’altra. Gli orientamenti della Commissione europea sul regolamento IA sono espliciti: la VIDF non sostituisce la valutazione d’impatto sulla protezione dei dati che i titolari devono svolgere ai sensi della normativa sulla protezione dei dati. L’articolo 27, paragrafo 4, descrive il rapporto allo stesso modo: quando una DPIA copre già parte di ciò che la VIDF richiede, la valutazione sui diritti fondamentali integra la DPIA anziché assorbirla. Una DPIA chiede se state proteggendo i dati personali. Una VIDF pone una domanda più ampia: se il sistema sia equo verso le persone che tocca e se queste possano contestarne le decisioni.
Il perimetro può allargarsi ulteriormente. La metodologia HUDERIA del Consiglio d’Europa valuta l’incidenza di un sistema di IA su diritti umani, democrazia e Stato di diritto, una lente che va oltre la sola privacy fino a toccare discriminazione, accesso alla giustizia ed equità procedurale. Per le organizzazioni fuori dall’UE, o per chi cerca un metodo unico e difendibile, offre un modo strutturato di ragionare sull’impatto a livello di diritti.
La conseguenza è soprattutto organizzativa. Il responsabile della privacy che curava il PIA e il responsabile della governance dell’IA che ora gestisce la VIDF esaminano lo stesso sistema da due angolazioni. Condurre queste verifiche in fogli di calcolo separati apre la porta a lacune e contraddizioni. È per questo che i deployer di IA in ambito regolato governano sempre più le valutazioni sulla protezione dei dati e sui diritti fondamentali su un’unica piattaforma di governance dell’IA, così che prove, rischi e misure restino coerenti rispetto a entrambi gli obblighi.
Come svolgere una valutazione d’impatto sulla privacy, passo dopo passo
Il metodo che segue vale per un PIA classico e si estende senza attriti ai sistemi di IA.
- Definire il perimetro. Descrivere il progetto, le categorie di dati personali coinvolte e i confini della valutazione. Per un sistema di IA, aggiungere il modello, i suoi dati di addestramento e le decisioni che automatizza.
- Mappare i flussi di dati. Tracciare dove i dati personali entrano, dove sono conservati, come si spostano e chi vi accede, fornitori e terze parti compresi.
- Verificare esattezza e accessi. Chiarire come i dati sono mantenuti aggiornati, per quanto tempo sono conservati e quali persone o strumenti possono raggiungerli.
- Stimare i rischi. Soppesare la sensibilità dei dati e la probabilità e gravità del danno. Per l’IA, aggiungere i gruppi di persone interessati e i rischi specifici di esiti iniqui o dannosi.
- Applicare misure. Ridurre la raccolta, restringere i tempi di conservazione, limitare i trasferimenti e prevedere una supervisione umana sulle decisioni automatizzate.
- Documentare l’esito. Registrare i rischi residui e le misure adottate. Per una VIDF, questa documentazione è anche ciò che si notifica all’autorità di vigilanza del mercato.
- Riesaminare a intervalli regolari. Ripetere la valutazione quando cambiano il sistema, i dati o la legge. I sistemi di IA derivano nel tempo, perciò il riesame periodico non è facoltativo.
Un consiglio utile per il coordinamento: eseguire questi passaggi una sola volta ed etichettare ogni rilievo in base all’obbligo che soddisfa, così che un unico flusso alimenti un PIA, una DPIA e una VIDF invece di tre attività scollegate. È il modello che una piattaforma di governance dedicata è pensata per sostenere.
Domande frequenti
Qual è lo scopo di una valutazione d’impatto sulla privacy? Lo scopo è individuare e ridurre il rischio per la privacy prima che un sistema che tratta dati personali entri in funzione. La valutazione documenta come i dati vengono raccolti, usati, conservati, condivisi ed eliminati, segnala i punti in cui le persone potrebbero subire un danno e registra le misure adottate per evitarlo. È un controllo preventivo, non un rapporto successivo a un incidente.
Una valutazione d’impatto sulla privacy è obbligatoria per legge? Dipende da chi siete e da dove operate. Le agenzie federali statunitensi devono svolgere un PIA ai sensi dell’E-Government Act del 2002, e leggi come HIPAA o diverse leggi statali impongono obblighi propri. Nel settore privato fuori da questi regimi il PIA è spesso volontario, ma una valutazione obbligatoria affine, una DPIA del GDPR o una VIDF del regolamento IA, può applicarsi allo stesso progetto.
Qual è la differenza tra un PIA e una DPIA? Il PIA è il termine ampio per qualsiasi esame strutturato della privacy, radicato nella prassi federale statunitense dove funge spesso da strumento interno. La DPIA è un preciso obbligo giuridico ai sensi dell’articolo 35 del GDPR, obbligatorio quando un trattamento presenta un rischio elevato per diritti e libertà, con un contenuto prescritto. In breve, ogni DPIA è una valutazione sulla privacy, ma non ogni PIA raggiunge la soglia giuridica di una DPIA.
Quando si deve svolgere un PIA? Un PIA va svolto prima dell’avvio di un nuovo sistema o processo che tratta dati personali, e di nuovo ogni volta che un cambiamento rilevante modifica il modo in cui tali dati vengono raccolti o usati. Il punto sta nella tempestività: la valutazione serve a plasmare il sistema già in fase di progettazione, prima che i rischi vi si radichino, non a constatarli a posteriori.
Un sistema di IA richiede una VIDF e una DPIA? Spesso sì. Un sistema di IA ad alto rischio che tratta dati personali può richiedere insieme una DPIA ai sensi del GDPR e una VIDF ai sensi dell’articolo 27 del regolamento IA. Le due si sovrappongono ma non sono intercambiabili: la VIDF integra la DPIA e aggiunge la prospettiva dei diritti fondamentali. I deployer interessati dovrebbero pianificarle entrambe, anziché supporre che l’una basti.
Che cos’è una valutazione d’impatto sui diritti fondamentali? Una valutazione d’impatto sui diritti fondamentali (VIDF) è un esame preliminare all’impiego, richiesto a determinati deployer di sistemi di IA ad alto rischio dal regolamento europeo sull’IA. Descrive dove e come il sistema sarà usato, le persone e i gruppi interessati, i rischi specifici di danno, la supervisione umana prevista e le misure da adottare se i rischi si concretizzano. L’esito è notificato all’autorità di vigilanza del mercato, e l’obbligo si applica dal 2 agosto 2026.
Conclusione
Il significato di una valutazione d’impatto sulla privacy ha superato la sua definizione originaria. È nata come controllo federale statunitense sul modo in cui le agenzie trattano i dati personali, e tale rimane. Ma per qualsiasi organizzazione che impiega l’IA, il termine apre ora una famiglia di valutazioni: il PIA, la DPIA giuridicamente vincolante e la nuova valutazione d’impatto sui diritti fondamentali del regolamento IA. Confonderle significa aprire lacune di conformità. Trasformarle in un unico flusso coordinato significa chiuderle. Governate le vostre valutazioni sulla protezione dei dati e sui diritti fondamentali per lo stesso sistema di IA ad alto rischio, in un solo luogo, con AI Sigil.