La DPIA nella disciplina del GDPR: luci e ombre

Abstract

La tesi, "La DPIA nella disciplina del GDPR: Luci e Ombre", analizza la Valutazione d'Impatto sulla Protezione dei Dati (DPIA) come strumento centrale del GDPR (Regolamento UE 2016/679). Viene esplorata l'evoluzione normativa dalla Direttiva 95/46/CE al GDPR, sottolineando il passaggio a un modello proattivo basato sull'accountability, che richiede ai titolari di dimostrare l'adozione di misure adeguate per la protezione dei dati. Il lavoro approfondisce la governance della DPIA (art. 35 GDPR), i criteri per individuare trattamenti ad alto rischio e il ruolo consultivo del Data Protection Officer (DPO) oltre che degli altri soggetti. Il caso del Comune di Tuscania illustra l'importanza della valutazione preventiva per evitare sanzioni e violazioni. La tesi esamina anche le criticità applicative della DPIA, come la discrezionalità del titolare, il rischio di compliance washing e le sfide operative per PMI e Pubbliche Amministrazioni. Si riflette inoltre sull'impatto dell'intelligenza artificiale e del nuovo AI Act, evidenziando come la DPIA debba evolvere da mero adempimento formale a processo dinamico di tutela della dignità umana nell'era digitale.

The thesis, ‘The DPIA under the GDPR: Lights and Shadows,’ analyses Data Protection Impact Assessment (DPIA) as a central tool of the GDPR (EU Regulation 2016/679). It explores the regulatory evolution from Directive 95/46/EC to the GDPR, highlighting the shift to a proactive model based on accountability, which requires controllers to demonstrate that they have taken appropriate measures to protect data. The thesis examines the governance of the DPIA (Art. 35 GDPR), the criteria for identifying high-risk processing and the advisory role of the Data Protection Officer (DPO) and other parties. The case of the Municipality of Tuscania illustrates the importance of prior assessment in order to avoid penalties and violations. The thesis also examines the critical issues in the application of the DPIA, such as the discretion of the data controller, the risk of compliance washing, and the operational challenges for SMEs and public administrations. It also reflects on the impact of artificial intelligence and the new AI Act, highlighting how the DPIA must evolve from a mere formal compliance exercise to a dynamic process of protecting human dignity in the digital age.