DPIA per il consenso ai cookie: quando i publisher devono eseguire una valutazione d'impatto sulla protezione dei dati
La maggior parte dei publisher considera la valutazione d'impatto sulla protezione dei dati come un adempimento di competenza altrui — del responsabile della protezione dei dati, di un consulente legale esterno, del raro progetto tecnico che tocca la biometria. In realtà il GDPR richiede una DPIA per una gamma di attività molto più ampia di quanto la maggior parte degli operatori ad-tech realizzi, e molti flussi di consenso ai cookie e di pubblicità comportamentale rientrano pienamente nei criteri di attivazione. La domanda che i regolatori pongono ora ai publisher negli audit e nelle indagini sui reclami è diretta: avete eseguito una DPIA prima di implementare questo tracciamento e potete mostrarcela? Questa guida spiega quando la DPIA è obbligatoria, cosa deve contenere e come produrne una che superi la revisione del regolatore.
Cos'è una DPIA e perché esiste
La valutazione d'impatto sulla protezione dei dati è definita nell'Article 35 del GDPR. Si tratta di un'analisi documentata che il titolare deve effettuare prima di avviare qualsiasi operazione di trattamento che possa comportare un rischio elevato per i diritti e le libertà delle persone fisiche. La DPIA obbliga il titolare a descrivere il trattamento, valutarne la necessità e la proporzionalità, individuare i rischi e documentare le misure adottate per mitigarli. Se il rischio residuo rimane elevato, il titolare deve consultare l'autorità di controllo prima di procedere.
Per i publisher, la DPIA non è un artefatto legale una tantum. È il documento centrale che un regolatore richiederà quando indaga su un reclamo relativo a cookie o tracciamento, ed è il documento che determina se il publisher può dimostrare la responsabilizzazione ai sensi dell'Article 5(2). Senza di essa, l'onere della prova si sposta decisamente contro di voi.
Quando la DPIA è obbligatoria per i flussi di cookie e consenso
L'Article 35(3) elenca tre criteri espliciti di attivazione della DPIA. Le linee guida dell'Article 29 Working Party (ora adottate dall'EDPB) aggiungono un elenco di nove criteri indicativi. Un'attività di trattamento che soddisfa due qualsiasi di questi criteri è presumibilmente soggetta all'obbligo di DPIA. Per i flussi di cookie e ad-tech i criteri più rilevanti sono:
- Valutazione sistematica ed estensiva — inclusa la profilazione per la pubblicità e la personalizzazione dei contenuti.
- Trattamento su larga scala — misurato in base al volume dei dati, al numero degli interessati, all'estensione geografica e alla durata. I siti publisher con utenti mensili a sette cifre soddisfano quasi sempre questo criterio.
- Uso innovativo della tecnologia — comprende il fingerprinting, l'identificazione cross-device, il federated learning, la misurazione dell'attenzione, l'inferenza comportamentale basata su AI.
- Tracciamento della posizione o del comportamento — direttamente contemplato dalla pubblicità comportamentale e dal retargeting.
- Combinazione o corrispondenza di dataset — incluso l'arricchimento lato server, i grafi di identità, le data clean room, la combinazione tramite customer data platform.
Un tipico sito publisher di fascia media che utilizza la pubblicità comportamentale e gestisce più di una manciata di pixel di terze parti soddisferà almeno tre di questi criteri contemporaneamente. La presunzione che sia richiesta una DPIA è, in pratica, una quasi-certezza. Diverse DPA nazionali hanno pubblicato i propri elenchi di DPIA obbligatorie; il Garante italiano, la CNIL francese e il DSK tedesco hanno tutti indicato la pubblicità programmatica e la profilazione cross-site come criteri predefiniti di attivazione della DPIA.
Cosa deve contenere il documento DPIA
L'Article 35(7) stabilisce quattro contenuti obbligatori. Una DPIA priva di uno qualsiasi di essi viene trattata dai regolatori come se non fosse mai stata eseguita.
Una descrizione sistematica del trattamento
Non si tratta di un riassunto di un paragrafo. La descrizione deve coprire ogni categoria di dati personali trattati, ogni finalità, ogni destinatario, ogni periodo di conservazione e ogni trasferimento transfrontaliero. Per un flusso ad-tech questo significa elencare ogni fornitore nella stringa TCF, i dati che ciascuno riceve e la base giuridica invocata per ciascuno. I publisher che copiano direttamente l'elenco dei fornitori TCF v2.2 nell'appendice della DPIA hanno prodotto documenti funzionali; quelli che lo riassumono in due frasi non lo hanno fatto.
Una valutazione della necessità e della proporzionalità
La necessità chiede se la stessa finalità possa essere raggiunta con meno dati o con dati non personali. Per un flusso di pubblicità comportamentale questo significa affrontare onestamente se la pubblicità contestuale servirebbe la stessa finalità. L'EDPB Opinion 28/2024 è esplicita nel dire che una DPIA non può liquidare la pubblicità contestuale in una sola riga — il titolare deve dimostrare che l'alternativa è stata presa in considerazione e spiegare perché è stata respinta.
Una valutazione dei rischi per gli interessati
L'analisi dei rischi deve considerare l'accesso illecito, la divulgazione non autorizzata, l'alterazione, la perdita e i rischi sociali più ampi della profilazione — effetti dissuasivi, discriminazione, lock-in. Per ogni rischio identificato, la valutazione deve indicare probabilità, gravità e livello residuo dopo le misure di mitigazione.
Le misure adottate per affrontare i rischi
È qui che la piattaforma di gestione del consenso compare nella DPIA. Raccolta granulare del consenso, opt-out fornitore per fornitore, revoca agevole, limiti di conservazione, cifratura in transito e a riposo, garanzie contrattuali sui responsabili del trattamento — ogni misura deve essere collegata a un rischio identificato specifico. Una dichiarazione generica che il publisher utilizza un CMP non è una misura.
Il ruolo del responsabile della protezione dei dati
L'Article 35(2) richiede che il titolare si avvalga della consulenza del DPO quando effettua una DPIA. Per i publisher con un DPO designato questo è semplice. Per i publisher più piccoli privi di DPO, la DPIA può comunque essere eseguita, ma deve essere svolta con una consulenza esterna documentata — un consulente legale esterno, un consulente di settore o il team di conformità di un fornitore CMP. Il ruolo del DPO è quello di mettere in discussione l'analisi di necessità del titolare, non di ratificarla.
Quando è richiesta la consultazione preventiva
L'Article 36 richiede la consultazione preventiva dell'autorità di controllo quando la DPIA mostra che il trattamento comporterebbe un rischio elevato che il titolare non riesce a mitigare. In pratica questo è raro per i flussi di cookie e consenso — la maggior parte dei rischi può essere mitigata attraverso il consenso granulare, la riduzione dei fornitori, i limiti di conservazione e le garanzie contrattuali. Ma non è zero. Due casi che hanno innescato la consultazione preventiva nel 2024 e nel 2025: un identificatore basato su fingerprinting implementato senza integrazione TCF, e un grafo di identità cross-device che combinava dati di prima parte con data broker di terze parti. I publisher che esplorano uno dei due modelli dovrebbero pianificare una tempistica di consultazione da sei a dodici settimane.
Come i regolatori utilizzano la DPIA nelle indagini
La DPIA è l'unico documento che un regolatore chiede per primo quando un reclamo relativo a cookie raggiunge la fase di indagine formale. Il Garante italiano, la CNIL francese, l'APD belga e il BayLDA bavarese aprono tutti i loro fascicoli procedurali con una richiesta della DPIA relativa all'attività in questione. Tre schemi emergono dalle decisioni recenti:
Le DPIA prodotte in ritardo vengono fortemente svalutate
Una DPIA datata dopo la richiesta del regolatore non sarà trattata come prova di valutazione pre-lancio. Diverse decisioni del 2025 hanno esplicitamente rilevato che il documento era stato creato ex post e lo hanno ponderato di conseguenza. La DPIA deve precedere il lancio del trattamento, e i metadati o la cronologia delle versioni del documento devono rendere ciò evidente.
Le DPIA generiche sono trattate come mancanti
Una DPIA template copiata dal portale di un fornitore CMP senza un'analisi specifica del sito viene respinta con crescente frequenza. La decisione del Garante del 2025 contro un gruppo editoriale italiano ha nominato sei dei nove siti in esame e ha rilevato che una singola DPIA condivisa che li copriva tutti non soddisfaceva l'Article 35.
Le misure di mitigazione devono corrispondere a quanto effettivamente implementato
Se la DPIA descrive una conservazione dei cookie di 60 giorni ma i cookie implementati utilizzano una durata di 24 mesi, il regolatore considererà la DPIA come inaccurata. Il controllo trimestrale della configurazione implementata rispetto alla descrizione della DPIA non è più facoltativo.
Mettere tutto insieme
Per la maggior parte dei publisher la risposta pratica è la stessa: è richiesta una DPIA, va redatta prima del lancio di qualsiasi nuovo tracciamento e va revisionata trimestralmente rispetto alla configurazione implementata. Il documento non deve essere lungo, ma deve essere specifico per il sito, scritto prima del lancio, firmato dal DPO o da un consulente esterno documentato, e allineato a ciò che è effettivamente in esecuzione in produzione. I publisher che rispettano questi quattro punti trasformano la DPIA da onere di conformità nella difesa più solida a loro disposizione quando un regolatore bussa alla porta.