Un imprenditore decide, finalmente, di nominare il proprio DPO. Sceglie una persona di fiducia, già coinvolta nella gestione aziendale, e firma l'atto di designazione. Si sente in regola. Non lo è. Questa situazione — comune, concreta, costosa — descrive esattamente i casi finiti nei provvedimenti sanzionatori del Garante negli ultimi mesi. Il tema della nomina del DPO non è un adempimento burocratico da spuntare: è una scelta organizzativa che ha conseguenze dirette sulla responsabilità del titolare del trattamento.
Il quadro normativo: cosa dice davvero il GDPR sulla nomina del DPO
L'articolo 37 del Regolamento (UE) 2016/679 identifica tre categorie di soggetti tenuti alla designazione obbligatoria del Responsabile della Protezione dei Dati: le autorità e gli organismi pubblici; i soggetti privati che effettuano trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; e chi tratta su larga scala dati particolari o dati relativi a condanne penali e reati. La nomina è sempre obbligatoria se il titolare del trattamento è un'autorità pubblica o un organismo pubblico; nel privato scatta al ricorrere di trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, o al ricorrere di trattamenti su larga scala di dati particolari — ad esempio dati sanitari — o di dati relativi a condanne penali.
La norma non si ferma qui. Il Garante Privacy italiano, come molti analoghi europei, ritiene che, anche dove non obbligatoria, la nomina del DPO sia sempre "opportuna", e in occasione dei controlli il titolare del trattamento ha la necessità di dimostrare di aver valutato se nominare il DPO e perché ha deciso di non nominarlo. In altri termini, l'assenza di nomina non è mai una posizione neutrale: deve essere motivata e documentata nell'ambito di un accountability approach serio.
Sul piano dei requisiti soggettivi, il GDPR non elenca specifici requisiti, né esiste un "albo" dei DPO; tuttavia, l'art. 37 del GDPR prevede che il DPO sia "designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti" assegnati dal regolamento. Non è quindi sufficiente la buona volontà: occorre competenza tecnico-giuridica verificabile e aggiornata.
I casi reali: le patologie più sanzionate dal Garante
Il Garante ha moltiplicato negli ultimi mesi i provvedimenti sanzionatori, e la lettura sistematica di questi atti rivela schemi ricorrenti che vale la pena esaminare con attenzione.
Il primo e più grave errore è la nomina di un soggetto in conflitto di interessi strutturale. Con il provvedimento n. 802 del 19 dicembre 2024, il Garante per la protezione dei dati personali ha adottato una sanzione amministrativa di 70.000 euro nei confronti di una società operante nel settore della riabilitazione creditizia, a seguito dell'accertamento di violazioni relative alla gestione dei dati personali. Il caso è paradigmatico: la Società aveva provveduto alla designazione del RPD individuandolo nella persona del proprio rappresentante legale, configurando così una palese situazione di incompatibilità. L'articolo 38, paragrafo 6, del GDPR prevede che il RPD "può svolgere altri compiti e funzioni", ma impone al titolare di garantire che tali compiti non diano adito a un conflitto di interessi. La coincidenza tra la figura del RPD e quella del rappresentante legale integra un'ipotesi paradigmatica di conflitto di interessi, in quanto il medesimo soggetto che determina i mezzi e le finalità dei trattamenti non può esercitare, con la necessaria indipendenza, i compiti di sorveglianza.
Il principio qui enunciato non è nuovo, ma il Garante lo ha ribadito con forza perché la violazione si ripete sistematicamente. Il Garante, nelle proprie FAQ, specifica che, ove il DPO sia individuato in un soggetto interno all'organizzazione, appare incompatibile l'assegnazione del ruolo di DPO a soggetti con incarichi di alta direzione, come l'amministratore delegato, il membro del consiglio di amministrazione, il direttore generale, il responsabile IT, il responsabile audit e/o gestione del rischio, il responsabile del servizio prevenzione e protezione.
Il secondo schema sanzionatorio riguarda il DPO che, di fatto, viene trasformato in un operatore del trattamento invece che in un controllore indipendente. Il Garante per la privacy, nel provvedimento n. 202 del 10 aprile 2025, ha sanzionato una società partecipata del Comune di Milano per aver coinvolto il proprio Data Protection Officer nella redazione della valutazione d'impatto sul trattamento dei dati raccolti tramite telecamere intelligenti. Secondo l'Autorità per la protezione dei dati personali, questa prassi compromette l'indipendenza del DPO e viola il Regolamento 679/2016, che impone al Responsabile della protezione dei dati di esprimere un parere autonomo, e non di redigere in prima persona la valutazione d'impatto (DPIA) ai sensi dell'art. 35 del GDPR. Il ragionamento del Garante è di rigorosa logica giuridica: avendo l'Agenzia demandato al RPD l'onere di svolgere in prima persona e sottoscrivere la valutazione d'impatto sulla protezione dei dati, attribuendo allo stesso un compito che può dare "adito a un conflitto di interessi" ai sensi dell'art. 38, par. 6, del Regolamento, la stessa ha posto il RPD in una situazione di conflitto d'interessi, tale da pregiudicare la possibilità per lo stesso di fornire in maniera indipendente e priva di condizionamenti il proprio parere.
Il terzo schema è la mancata nomina o l'omessa comunicazione al Garante. Con il provvedimento n. 5 del 2025, emesso a seguito dell'accertamento d'ufficio relativo a un Comune che non aveva provveduto alla designazione del Responsabile per la protezione dei dati, durante l'istruttoria l'ente non ha presentato alcuna memoria difensiva. Nella sua decisione, l'Autorità ribadisce con forza che per le pubbliche amministrazioni la nomina del DPO è un adempimento obbligatorio e vincolante, e deve essere accompagnata dalla pubblicazione dei dati di contatto del soggetto designato nella pagina principale del sito istituzionale e comunicati all'Autorità esclusivamente tramite il portale dedicato.
La trasparenza verso il Garante non è una formalità: non serve più un'istruttoria complessa per accertare la mancata nomina del Responsabile della protezione dei dati. Oggi, per il Garante Privacy, basta un controllo online. Se sul sito istituzionale di un ente pubblico non sono presenti i riferimenti del DPO, o se la comunicazione non risulta effettuata tramite la piattaforma ufficiale dell'Autorità, la violazione è automatica.
Un profilo meno discusso, ma molto rilevante sul piano della responsabilità, riguarda le conseguenze che le sanzioni producono all'interno delle organizzazioni pubbliche. La Corte dei Conti — Sezione giurisdizionale per la Valle d'Aosta, con la sentenza n. 36/2025 — ha stabilito che le sanzioni pecuniarie inflitte dal Garante per la protezione dei dati personali a una Pubblica amministrazione possono configurare un danno erariale indiretto. Ne rispondono, pertanto, i funzionari e i dirigenti che, con comportamenti negligenti o contrari alle prescrizioni impartite dall'Autorità, abbiano contribuito alla violazione. La ricaduta pratica è diretta: nelle PA, il dirigente che gestisce male la compliance privacy può rispondere personalmente del danno causato all'ente con il pagamento della sanzione.
Sul versante opposto, i provvedimenti del Garante mostrano anche come un DPO realmente coinvolto e correttamente collocato possa costituire una risorsa preziosa. Nel caso del provvedimento n. 243/2025, relativo al trattamento dei log dei dipendenti da parte di un ente regionale, l'Autorità ha sottolineato anche il "virtuoso contributo" del DPO per garantire la compliance sostanziale. Questo caso rappresenta un esempio significativo di come un DPO realmente coinvolto e competente possa trasformarsi in un asset strategico per l'ente.
Il brocardo vigilantibus iura subveniunt — il diritto viene in soccorso a chi vigila — coglie con precisione la ratio di questa figura: il DPO non è un paracadute da aprire in caso di emergenza, ma un presidio attivo e costante. Come osservava Norberto Bobbio, il diritto non protegge chi ignora le proprie responsabilità: protegge chi le assume concretamente e in tempo utile.
Come procedere correttamente, dunque? Tre passaggi sono ineludibili. Primo: il ruolo di DPO può essere affidato a uno dei dipendenti dell'azienda, con specifico atto di designazione, ma può anche essere esternalizzato a un fornitore di servizi, libero professionista o azienda, tramite apposito contratto di servizi. In entrambi i casi, la scelta deve essere guidata dall'assenza di conflitti di interesse e dalla presenza di competenze effettive. Secondo: una volta effettuata la nomina formale, la comunicazione dei dati di contatto del DPO all'Autorità Garante per la protezione dei dati personali è da effettuarsi esclusivamente tramite la procedura telematica messa a disposizione dall'Autorità stessa. Terzo: la responsabilità per la conformità al GDPR rimane in capo al titolare. La nomina, infatti, non sposta il centro di imputazione della responsabilità volta a garantire la conformità al regolamento europeo, che resta pertanto in capo al titolare.
Quello della corretta nomina del DPO è, in definitiva, il primo banco di prova della maturità di un'organizzazione in materia di protezione dei dati. Non si tratta di scegliere un nome da inserire in un modulo: si tratta di costruire, con consapevolezza e coerenza, un presidio interno di indipendenza che il regolamento europeo ha voluto funzionale — non decorativo.
Redazione - Staff Studio Legale MP
