Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

DPO: chi è, cosa fa e quando è obbligatorio nominarlo

Il DPO, Data Protection Officer, in italiano Responsabile della protezione dei dati o RPD, è la figura prevista dal Regolamento (UE) 2016/679 per supportare titolari e responsabili del trattamento nella corretta applicazione della normativa sulla protezione dei dati personali.

Il suo ruolo è centrale perché non coincide con un semplice consulente privacy né con un responsabile operativo interno. Il DPO informa, consiglia, sorveglia l’osservanza del GDPR, coopera con l’autorità di controllo e rappresenta un punto di contatto per gli interessati. Deve quindi poter agire con autonomia, indipendenza, competenze specialistiche e accesso adeguato alle informazioni e ai vertici dell’organizzazione.

La nomina del DPO non è obbligatoria per tutte le aziende, ma diventa necessaria nei casi previsti dall’art. 37 del GDPR. In particolare, l’obbligo riguarda autorità e organismi pubblici, salvo le autorità giurisdizionali nell’esercizio delle loro funzioni, e soggetti privati le cui attività principali comportano monitoraggio regolare e sistematico degli interessati su larga scala oppure trattamento su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e reati.

Per questo motivo, la scelta non può essere fatta in modo automatico o solo in base alla dimensione aziendale. Occorre valutare natura dell’attività, tipologia di dati trattati, finalità, scala del trattamento, continuità del monitoraggio, rischi per gli interessati e struttura organizzativa. Anche quando la nomina non è obbligatoria, l’organizzazione può decidere volontariamente di nominare un DPO, purché rispetti comunque tutti i requisiti previsti dal GDPR.

Quando è obbligatorio nominare il DPO

L’art. 37 del GDPR individua tre casi principali in cui il titolare o il responsabile del trattamento devono designare un DPO. Il primo riguarda il trattamento effettuato da un’autorità pubblica o da un organismo pubblico, con esclusione delle autorità giurisdizionali quando agiscono nell’esercizio delle loro funzioni. Il secondo riguarda i casi in cui le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala. Il terzo riguarda le attività principali che consistono nel trattamento su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e reati.

La nozione di attività principale è importante. Non riguarda qualunque trattamento accessorio o amministrativo, ma le operazioni necessarie per raggiungere gli obiettivi dell’organizzazione. Per esempio, in un ospedale il trattamento dei dati sanitari dei pazienti è parte dell’attività principale. In un’azienda che gestisce servizi digitali basati sul tracciamento continuativo degli utenti, il monitoraggio può essere parte essenziale del modello di servizio.

Anche il concetto di larga scala deve essere valutato con attenzione. Le linee guida europee suggeriscono di considerare il numero di interessati coinvolti, il volume dei dati, la durata o permanenza del trattamento e l’estensione geografica. Non esiste una soglia numerica unica valida per tutti i casi, quindi la valutazione deve essere documentata e proporzionata al contesto.

Il monitoraggio regolare e sistematico può comprendere, ad esempio, tracciamento online, profilazione, programmi di fidelizzazione, sistemi di scoring, videosorveglianza estesa, controllo sistematico di comportamenti o utilizzo continuativo di strumenti che osservano gli interessati nel tempo. La presenza di tecnologia non basta da sola: occorre valutare se il trattamento sia regolare, sistematico e su larga scala.

 

Caso previsto dal GDPRQuando si verificaEsempi indicativi
Autorità o organismo pubblicoIl trattamento è svolto da un soggetto pubblico, salvo autorità giurisdizionali nell’esercizio delle funzioniComune, ente pubblico, scuola pubblica, azienda sanitaria pubblica
Monitoraggio regolare e sistematico su larga scalaLe attività principali richiedono osservazione continuativa o strutturata degli interessatiPiattaforme digitali, profilazione utenti, grandi sistemi di videosorveglianza
Trattamento su larga scala di dati particolari o giudiziariLe attività principali richiedono trattamento ampio di dati sanitari, biometrici, genetici, giudiziari o altri dati particolariStrutture sanitarie, laboratori, servizi socio-assistenziali, grandi database HR sanitari

Chi può nominare il DPO e chi è tenuto a farlo

Il DPO deve essere designato dal titolare del trattamento o dal responsabile del trattamento quando ricorrono i presupposti previsti dal GDPR. Questo significa che l’obbligo può riguardare sia l’organizzazione che decide finalità e mezzi del trattamento, sia il soggetto che tratta dati personali per conto di altri.

Nella pratica, la decisione e la formalizzazione della nomina spettano all’organizzazione. Nel settore privato, la designazione viene normalmente approvata dalla direzione, dall’organo amministrativo o da chi ha poteri di rappresentanza. Nel settore pubblico, l’individuazione del DPO deve essere formalizzata dall’amministrazione o dall’ente competente, secondo le regole organizzative interne.

È possibile nominare un unico DPO per un gruppo imprenditoriale, purché il responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento. Anche più autorità pubbliche o organismi pubblici possono designare un unico DPO, tenendo conto della loro struttura organizzativa e dimensione.

Dopo la designazione, il titolare o il responsabile deve pubblicare i dati di contatto del DPO e comunicarli all’autorità di controllo. In Italia, la comunicazione viene effettuata al Garante per la protezione dei dati personali tramite la procedura telematica disponibile sul sito dell’Autorità. Devono essere comunicate anche eventuali variazioni o revoche della designazione.

 

SoggettoPuò o deve nominare il DPO?Nota operativa
Titolare del trattamentoSì, quando ricorrono i casi dell’art. 37 GDPRResta responsabile della conformità complessiva
Responsabile del trattamentoSì, quando ricorrono i presuppostiPuò avere un proprio DPO distinto da quello del titolare
Gruppo imprenditorialePuò nominare un unico DPOIl DPO deve essere facilmente raggiungibile da ogni stabilimento
Enti pubbliciIn generale sìLa nomina deve essere formalizzata e comunicata al Garante

 Requisiti, competenze e indipendenza del DPO

Il DPO deve essere designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di svolgere i compiti previsti dall’art. 39 del GDPR. Il regolamento non impone un albo professionale specifico, ma richiede competenze adeguate rispetto alla complessità dei trattamenti e ai rischi dell’organizzazione.

Le competenze richieste non sono solo giuridiche. Un DPO efficace deve comprendere la normativa privacy, i processi aziendali, la sicurezza informatica, la gestione dei fornitori, le misure organizzative, la documentazione privacy, le procedure data breach, le valutazioni d’impatto e i rapporti con l’autorità di controllo. In contesti complessi, possono essere necessarie competenze multidisciplinari o un team di supporto.

L’indipendenza è un requisito essenziale. Il DPO deve essere coinvolto tempestivamente in tutte le questioni riguardanti la protezione dei dati personali, deve ricevere risorse adeguate, deve poter accedere ai dati e ai trattamenti, deve mantenere la propria conoscenza specialistica e non deve ricevere istruzioni sull’esecuzione dei propri compiti. Non può essere rimosso o penalizzato per l’adempimento delle sue funzioni.

Particolare attenzione deve essere posta al conflitto di interessi. Il DPO può svolgere altri compiti e funzioni, ma questi non devono compromettere la sua indipendenza. In generale, ruoli che determinano finalità e mezzi del trattamento, come amministratore delegato, direttore generale, responsabile IT con poteri decisionali, responsabile marketing, responsabile HR o responsabile compliance operativa sui trattamenti, possono generare conflitti e vanno valutati con prudenza.

 

RequisitoCosa significaErrore da evitare
Conoscenza specialisticaCompetenza in normativa privacy, prassi e gestione del rischioNominare una figura senza esperienza adeguata
IndipendenzaAutonomia nello svolgimento dei compitiDare istruzioni al DPO sulle conclusioni da raggiungere
Assenza di conflittiAltri ruoli non devono decidere finalità e mezzi dei trattamenti controllatiNominare figure che controllano sé stesse
Risorse adeguateTempo, strumenti, accesso alle informazioni e supportoNomina solo formale senza coinvolgimento operativo

DPO interno o esterno: differenze e criteri di scelta

Il DPO può essere un dipendente del titolare o del responsabile del trattamento oppure può svolgere i propri compiti in base a un contratto di servizi. La scelta tra DPO interno ed esterno deve essere valutata in base alla struttura dell’organizzazione, alla complessità dei trattamenti, alla disponibilità di competenze interne, al rischio di conflitto di interessi e alla continuità del servizio.

Il DPO interno può avere una conoscenza diretta dell’organizzazione, dei processi e delle persone coinvolte. Questa vicinanza può facilitare il dialogo con le funzioni aziendali e la comprensione dei flussi di dati. Tuttavia, è necessario garantire che il ruolo interno non sia incompatibile con altre responsabilità operative e che il DPO disponga di tempo, autonomia e risorse sufficienti.

Il DPO esterno può offrire maggiore specializzazione, aggiornamento costante e indipendenza rispetto alle dinamiche interne. È spesso utile per PMI, enti o aziende che non dispongono di competenze specialistiche interne oppure che vogliono evitare conflitti di interesse. In questo caso, il contratto deve definire chiaramente oggetto dell’incarico, attività, tempi di risposta, modalità di contatto, accesso alle informazioni, riservatezza e supporto operativo.

In entrambi i casi, il DPO non deve essere una figura isolata. Deve essere coinvolto nelle decisioni che riguardano nuovi trattamenti, fornitori, strumenti digitali, campagne marketing, sistemi di videosorveglianza, gestione HR, data breach, DPIA e aggiornamenti documentali.

 

OpzioneVantaggiAttenzioni
DPO internoConosce processi, persone e organizzazioneVerificare conflitti di interesse, autonomia e tempo disponibile
DPO esternoSpecializzazione, indipendenza e aggiornamento continuoDefinire bene contratto, tempi di risposta e accesso alle informazioni
DPO di gruppoUniformità di indirizzo e ottimizzazione dei costiGarantire raggiungibilità e conoscenza delle singole realtà
Team DPOCompetenze multidisciplinariIndividuare chiaramente il referente e le responsabilità

Come nominare correttamente il DPO

La nomina del DPO deve essere formalizzata con un atto chiaro. La designazione dovrebbe indicare i dati dell’organizzazione, i dati del DPO, la base della nomina, la durata dell’incarico, i compiti affidati, le garanzie di indipendenza, le risorse disponibili, le modalità di coinvolgimento, i canali di contatto, gli obblighi di riservatezza e le modalità di comunicazione con l’autorità di controllo e con gli interessati.

La nomina non si conclude con la firma del documento. L’organizzazione deve pubblicare i dati di contatto del DPO, comunicarli al Garante tramite la procedura telematica, informare le funzioni interne, aggiornare informative e documenti privacy, definire il flusso di coinvolgimento del DPO e predisporre procedure per richieste degli interessati, data breach, DPIA e nuovi trattamenti.

Il DPO deve essere facilmente raggiungibile. Non è necessario pubblicare il nominativo personale in ogni contesto, ma devono essere pubblicati dati di contatto effettivi, come indirizzo email dedicato o recapito postale, che permettano agli interessati e all’autorità di comunicare con lui. Il canale deve essere presidiato e coerente con l’organizzazione.

È buona prassi conservare anche la valutazione che ha portato alla nomina o alla mancata nomina, soprattutto nei casi dubbi. Questa valutazione dimostra l’approccio di accountability e può essere utile in caso di controllo o contestazione.

 

FaseAttivitàEvidenza consigliata
Valutazione obbligoAnalizzare art. 37 GDPR, trattamenti, scala e rischiNota interna o audit privacy
Scelta del DPOVerificare competenze, indipendenza e assenza di conflittiCV, profilo professionale, dichiarazioni
FormalizzazionePredisporre atto di designazione o contratto di serviziLettera di nomina o contratto
ComunicazionePubblicare contatti e comunicarli al GaranteRicevuta procedura telematica
Integrazione internaCoinvolgere il DPO nei processi privacyProcedure, flussi, verbali, pareri

 Quando la nomina del DPO non è obbligatoria

Non tutte le organizzazioni sono obbligate a nominare un DPO. Una piccola azienda che tratta dati comuni per finalità amministrative, contrattuali e contabili, senza monitoraggio regolare e sistematico su larga scala e senza trattamento su larga scala di categorie particolari di dati, potrebbe non rientrare nei casi dell’art. 37 del GDPR.

L’assenza dell’obbligo di nomina non significa però assenza di obblighi privacy. Anche senza DPO, l’organizzazione deve rispettare i principi del GDPR, fornire informative corrette, individuare basi giuridiche, gestire fornitori, proteggere i dati, rispettare i diritti degli interessati, predisporre procedure data breach e mantenere documentazione adeguata.

In alcuni casi, la nomina volontaria può essere consigliabile anche se non strettamente obbligatoria. Ciò può avvenire quando l’azienda tratta dati sensibili in modo non esteso ma ricorrente, opera in settori regolati, gestisce molte richieste degli interessati, utilizza strumenti digitali complessi, svolge marketing strutturato o vuole rafforzare la governance privacy.

Se viene nominato volontariamente un DPO, si applicano comunque gli stessi requisiti previsti dal GDPR. Non è possibile usare il titolo di DPO per una figura priva di indipendenza, competenze o risorse. In alternativa, l’azienda può affidarsi a un consulente privacy senza qualificarlo come DPO, mantenendo internamente la responsabilità delle decisioni.

 

ScenarioDPO obbligatorio?Cosa fare comunque
Piccola impresa con dati clienti e fornitori comuniDi norma no, salvo trattamenti particolariInformative, registro se necessario, sicurezza e fornitori
Azienda con monitoraggio sistematico utenti su larga scalaNomina DPO, valutazione rischi, DPIA se necessaria
Struttura sanitaria con dati salute su larga scalaNomina DPO e forte governance privacy
Organizzazione non obbligata ma con trattamenti delicatiNon sempreValutare nomina volontaria o consulenza privacy

Compiti e responsabilità del DPO

I compiti minimi del DPO sono indicati dall’art. 39 del GDPR. Il DPO informa e fornisce consulenza al titolare o al responsabile del trattamento e ai dipendenti che eseguono trattamenti. Sorveglia l’osservanza del GDPR, di altre disposizioni europee o nazionali e delle politiche interne in materia di protezione dei dati. Fornisce, se richiesto, un parere sulla valutazione d’impatto sulla protezione dei dati e ne sorveglia lo svolgimento. Coopera con l’autorità di controllo e funge da punto di contatto per quest’ultima.

Il DPO deve tenere conto dei rischi inerenti al trattamento, considerando natura, ambito di applicazione, contesto e finalità. Questo significa che la sua attività deve essere proporzionata: maggiore è il rischio, maggiore deve essere l’attenzione su procedure, controlli, formazione, sicurezza, DPIA, fornitori e gestione degli incidenti.

È importante chiarire anche cosa il DPO non deve fare. Il DPO non sostituisce il titolare o il responsabile del trattamento, non decide finalità e mezzi, non assume la responsabilità operativa della conformità e non deve essere utilizzato come figura che autorizza automaticamente ogni trattamento. La responsabilità finale resta in capo al titolare o al responsabile.

Il valore del DPO sta nella capacità di offrire un controllo indipendente e consulenziale. Per questo deve poter esprimere pareri anche critici, documentare le proprie valutazioni e accedere alle informazioni necessarie. L’organizzazione può discostarsi dai suoi pareri, ma dovrebbe motivare la decisione e conservarne traccia.

 

Compito del DPOCosa comportaLimite da ricordare
Informare e consigliareSupporta titolare, responsabile e personaleNon decide al posto del titolare
Sorvegliare la conformitàControlla regole, policy, responsabilità e formazioneNon è l’unico responsabile della privacy
Supportare DPIAFornisce pareri e sorveglia lo svolgimentoLa decisione finale resta all’organizzazione
Cooperare con il GaranteFunge da punto di contattoDeve essere realmente raggiungibile
Gestire richieste degli interessati come punto di contattoFacilita comunicazione e tutela dei dirittiLe procedure devono essere organizzate dal titolare

DPO per enti pubblici e aziende private: casi pratici e sanzioni

Nel settore pubblico, la nomina del DPO è generalmente obbligatoria per autorità e organismi pubblici. Rientrano tipicamente in questo ambito amministrazioni, enti locali, scuole pubbliche, aziende sanitarie pubbliche, università pubbliche e altri soggetti pubblici. Il Garante ha pubblicato FAQ e documenti di indirizzo specifici per supportare gli enti nella designazione, posizione e compiti del RPD.

Nel settore privato, l’obbligo dipende dai trattamenti svolti. Una grande azienda non è obbligata solo perché ha molti dipendenti, ma può esserlo se le sue attività principali comportano monitoraggio regolare e sistematico su larga scala o trattamento su larga scala di categorie particolari di dati. Al contrario, una realtà più piccola può essere obbligata se il suo modello operativo rientra nei casi previsti dall’art. 37.

Esempi tipici di organizzazioni private da valutare con attenzione sono strutture sanitarie, laboratori diagnostici, piattaforme digitali, società che svolgono profilazione su larga scala, imprese che gestiscono sistemi estesi di videosorveglianza, servizi finanziari con monitoraggio sistematico dei clienti, realtà che trattano grandi volumi di dati biometrici o aziende che operano su dati giudiziari nei casi consentiti dalla legge.

La mancata nomina del DPO quando obbligatoria può comportare sanzioni amministrative. Le violazioni degli obblighi del titolare e del responsabile, inclusi quelli relativi agli articoli 37, 38 e 39 del GDPR, possono essere soggette a sanzioni fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore. Oltre al rischio economico, possono emergere contestazioni, provvedimenti correttivi, danni reputazionali e criticità nei rapporti con clienti, utenti e autorità.

 

Tipo di organizzazioneObbligo DPOMotivazione
Comune, scuola pubblica, ente pubblicoGeneralmente sìAutorità o organismo pubblico
Piccolo negozio con dati comuniDi norma noTrattamenti ordinari, salvo casi particolari
Clinica o struttura sanitaria con molti pazientiProbabile o sìTrattamento su larga scala di dati salute
Piattaforma digitale con profilazione utentiProbabile o sìMonitoraggio regolare e sistematico su larga scala
Azienda con videosorveglianza limitata a una sedeDa valutareDipende da scala, finalità, estensione e continuità

Domande frequenti

Quando è obbligatorio nominare il DPO secondo il GDPR?

La nomina è obbligatoria nei casi previsti dall’art. 37 del GDPR: trattamenti svolti da autorità o organismi pubblici, monitoraggio regolare e sistematico degli interessati su larga scala come attività principale, oppure trattamento su larga scala di categorie particolari di dati personali o dati relativi a condanne penali e reati.

Chi è tenuto a nominare il DPO?

Sono tenuti alla nomina il titolare del trattamento o il responsabile del trattamento quando ricorrono i presupposti del GDPR. L’obbligo può quindi riguardare sia chi decide finalità e mezzi del trattamento, sia chi tratta dati per conto di altri.

Quali requisiti e competenze deve avere un DPO?

Il DPO deve avere conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, capacità di svolgere i compiti previsti dall’art. 39, indipendenza, assenza di conflitti di interesse, accesso alle informazioni e risorse adeguate.

Il DPO può essere interno o deve essere esterno?

Può essere interno o esterno. Il GDPR consente sia la nomina di un dipendente sia l’affidamento del ruolo tramite contratto di servizi. In entrambi i casi devono essere garantite competenza, indipendenza, autonomia e assenza di conflitti di interesse.

Come si nomina il DPO in modo corretto?

La nomina deve essere formalizzata con un atto o contratto che definisca ruolo, compiti, durata, risorse, indipendenza, canali di contatto e modalità di coinvolgimento. I dati di contatto devono essere pubblicati e comunicati al Garante tramite procedura telematica.

Cosa rischia un’azienda se non nomina il DPO quando è obbligatorio?

La mancata nomina può comportare sanzioni amministrative e provvedimenti dell’autorità di controllo. Le violazioni degli obblighi relativi al DPO possono rientrare nel regime sanzionatorio fino a 10 milioni di euro o fino al 2% del fatturato mondiale annuo, se superiore.

Il DPO è responsabile se l’azienda viola il GDPR?

La responsabilità della conformità resta in capo al titolare o al responsabile del trattamento. Il DPO ha funzioni di consulenza, sorveglianza e punto di contatto, ma non decide finalità e mezzi del trattamento e non sostituisce l’organizzazione nelle decisioni operative.

Una PMI deve sempre nominare il DPO?

No. Una PMI deve nominare il DPO solo se rientra nei casi previsti dall’art. 37 del GDPR. Tuttavia, anche se non nomina un DPO, deve rispettare tutti gli altri obblighi privacy.

Il nominativo del DPO deve essere comunicato al Garante?

Sì. Il titolare o il responsabile deve pubblicare i dati di contatto del DPO e comunicarli al Garante. Devono essere comunicate anche eventuali variazioni o revoche.

Il DPO può svolgere altri incarichi in azienda?

Sì, ma solo se gli altri incarichi non generano conflitto di interessi. Il DPO non dovrebbe ricoprire ruoli che determinano finalità e mezzi dei trattamenti che poi dovrebbe controllare