Dalle istituzioni UE arriva un segnale forte: servono consenso preventivo del Garante europeo per la revoca del DPO, procedure vincolanti, tutela rafforzata dell’indipendenza.
Nel settore privato italiano, invece, il responsabile della protezione dei dati resta spesso una figura fragile, subordinata e strutturalmente esposta.
Indice degli argomenti
DPO indipendente, come: il documento EDPS 2026/02
Eppure l’Europa è molto chiara su cosa serva al DPO adesso.
Con il comunicato del 13 febbraio 2026, il Garante europeo della protezione dei dati (EDPS) ha annunciato l’adozione di due atti destinati a rafforzare in modo significativo il ruolo del Data Protection Officer (DPO) nelle istituzioni e agenzie dell’Unione europea.
Supervisory Guidance
Il primo è una Supervisory Guidance che chiarisce in modo sistematico posizione, compiti e garanzie di indipendenza del DPO ai sensi del Regolamento (UE) 2018/1725, cioè la normativa che regola la protezione dei dati personali all’interno delle istituzioni e agenzie dell’Unione europea, definendo principi, diritti, obblighi e poteri di vigilanza dell’EDPS, in parallelo al GDPR applicabile negli Stati membri. Il documento fornisce indicazioni operative su designazione, collocazione organizzativa, risorse, assenza di conflitti di interesse, riporto al vertice e modalità di esercizio delle funzioni di controllo dei DPO nell’ambito delle istituzioni europee.
Decisione 01/2026,
Il secondo è la Decisione 01/2026, che introduce regole vincolanti sulla revoca del DPO. In particolare, quest’ultima stabilisce che ogni istituzione UE che intenda rimuovere il proprio DPO prima della scadenza del mandato debba ottenere il previo consenso dell’EDPS attraverso una procedura formalizzata, completa di motivazione documentata e diritto di difesa del DPO interessato.
Nel loro insieme, i due atti chiariscono che l’indipendenza del DPO è una condizione strutturale da tutelare con strumenti organizzativi e procedurali concreti.
È proprio questo rafforzamento che merita attenzione anche al di fuori delle istituzioni europee.
Il contesto: perché l’EDPS interviene ora su indipendenza DPO
Supervisory Guidance sul ruolo dei Data Protection Officers nelle istituzioni, organi e agenzie dell’Unione europea e Decisione 01/2026, che disciplina in modo vincolante la procedura di consenso preventivo dell’EDPS per la revoca del DPO, rappresentano un intervento rilevante sulla governance della funzione DPO nelle istituzioni europee.
Il punto di partenza è chiaramente espresso nella Decisione: l’indipendenza del DPO costituisce una “garanzia strutturale”, essenziale per assicurare il rispetto delle norme sulla protezione dei dati. L’indipendenza è una vera e propria condizione di efficacia dell’intero sistema di tutela dei diritti fondamentali, non un “accessorio” a corredo della figura del DPO.
In questo passaggio si coglie il senso politico e giuridico dell’intervento, poiché dopo anni di applicazione del GDPR e dell’EUDPR, il legislatore e l’autorità di controllo europea prendono atto di una criticità ricorrente: la figura del DPO, pur essendo formalmente prevista come indipendente, se priva di adeguate garanzie organizzative rischia di restare esposta a pressioni interne.
La risposta dell’EDPS è netta, in quanto afferma che l’indipendenza va presidiata ex ante, con regole chiare, procedure strutturate e poteri di intervento effettivi.
Le “nuove” Supervisory Guidance: posizione, indipendenza e governance del DPO
La Supervisory Guidance del 2025 si presenta come un documento di interpretazione sistematica del ruolo, della posizione e dei compiti del DPO nelle istituzioni UE e ha l’obiettivo dichiarato di rafforzare il DPO come “key internal safeguard”, ossia come presidio interno essenziale per la protezione dei dati personali.
La Guida interviene su alcuni snodi che, anche nel settore privato, costituiscono le principali aree di tensione all’interno delle organizzazioni.
In primo luogo, il DPO deve essere coinvolto “properly and in a timely manner” in tutte le questioni che riguardano la protezione dei dati. Questo significa che non può essere coinvolto a decisioni già prese, né chiamato a ratificare scelte operative definite altrove. La logica è quella del data protection by design, non della ratifica successiva.
In secondo luogo, l’istituzione è tenuta a fornire al DPO risorse materiali, accesso ai dati, formazione continua e supporto organizzativo. L’insufficienza di risorse viene esplicitamente considerata un fattore che può compromettere l’efficacia della funzione.
Inoltre, il DPO non può ricevere istruzioni in merito all’esercizio dei propri compiti, né formali né indirette, sotto forma di pressioni o condizionamenti legati alla posizione contrattuale.
La Guida insiste poi su due profili particolarmente rilevanti, cioè il divieto di penalizzazione per l’esercizio delle funzioni e l’obbligo di riporto diretto al più alto livello di management affinché il DPO possa incidere sui processi decisionali e segnalare criticità senza filtri intermedi.
Infine, anche la disciplina del conflitto di interessi è trattata in modo rigoroso; il DPO non può determinare finalità e mezzi del trattamento, semplicemente perché chi controlla non può essere al contempo colui che decide.
Emerge con chiarezza che il DPO è una funzione di controllo interno con autonomia strutturale e non un supporto tecnico-operativo.
La Decisione 01/2026: consenso preventivo e regole vincolanti sulla revoca
Se la Guidance rafforza la posizione organizzativa del DPO, la Decisione 01/2026 interviene sulla revoca anticipata.
L’articolo 44(8) dell’EUDPR già prevedeva che il DPO potesse essere rimosso solo se non più in possesso dei requisiti e con il previo consenso dell’EDPS, ma la Decisione trasforma questa previsione in una procedura dettagliata, uniforme e vincolante.
L’istituzione che intende revocare il DPO deve presentare una richiesta completa e documentata, motivando le ragioni per cui il soggetto non sarebbe più idoneo a svolgere la funzione. Il DPO ha diritto a essere sentito e l’EDPS valuta la sussistenza dei presupposti sostanziali e può decidere di negare il consenso.
Particolarmente significativa è la previsione di interventi urgenti nei casi in cui vi sia un rischio imminente per l’indipendenza della funzione, ad esempio in presenza di ritorsioni o minacce di revoca.
In caso di violazione dell’obbligo di consenso preventivo, il Garante può esercitare poteri correttivi e imporre misure, inclusa l’eventuale sanzione amministrativa.
La revoca del DPO è insomma una decisione sottoposta a controllo esterno.
Se i principi erano già nel GDPR, perché intervenire di nuovo?
Una domanda sorge però spontanea: ciò che l’EDPS ribadisce oggi non era già chiaramente scolpito nel GDPR e, per le istituzioni europee, nel Regolamento (UE) 2018/1725?
L’articolo 38 GDPR stabilisce da anni che il DPO non può ricevere istruzioni, non può essere penalizzato per l’esercizio delle sue funzioni e deve riferire al vertice dell’organizzazione. L’articolo 44 dell’EUDPR prevede già il consenso preventivo dell’EDPS in caso di revoca. Formalmente, quindi, il quadro normativo sembrava già completo.
Perché allora tornare su questi principi con nuove linee guida e, soprattutto, con una decisione vincolante che disciplina nel dettaglio la procedura di revoca?
Il punto è che l’enunciazione dei principi non ne ha garantito l’effettiva attuazione organizzativa.
Il GDPR e l’EUDPR non sempre forniscono infatti meccanismi organizzativi dettagliati per garantirne l’effettività. Così, l’indipendenza del DPO è affermata in modo perentorio, ma la sua attuazione non è proceduralizzata ed è lasciata alla struttura interna delle organizzazioni. In questo spazio si annidano tutte le criticità: collocazioni gerarchiche ambigue, conflitti di interesse non adeguatamente gestiti, pressioni indirette, revoche motivate formalmente ma sostanzialmente riconducibili a tensioni legate all’esercizio del ruolo.
Le nuove linee guida dell’EDPS rafforzano pertanto la dimensione operativa del diritto vigente e introducono un livello di dettaglio organizzativo che in precedenza mancava.
Se le precedenti indicazioni si concentravano prevalentemente sui compiti del DPO, le nuove Guidance insistono in modo più marcato sulla sua posizione nell’organigramma, sulle risorse, sui flussi informativi, sulla prevenzione dei conflitti e sulla responsabilità dei vertici nel garantire l’autonomia della funzione.
La Decisione 01/2026, poi, trasforma il consenso preventivo alla revoca, da principio a procedura formalizzata, con requisiti documentali, diritto di essere sentiti, termini e poteri correttivi. È una procedimentalizzazione dell’indipendenza.
La survey sul DPO del 2023
Non è un caso che già nel marzo 2023 il Comitato europeo per la protezione dei dati (EDPB) avesse avviato un’azione coordinata di enforcement proprio sul ruolo e sulla posizione dei DPO.
Ventisei autorità di protezione dati dello Spazio economico europeo, incluso l’EDPS, hanno effettuato verifiche nazionali (tramite questionari, accertamenti formali e follow-up ispettivi) per valutare se i DPO fossero effettivamente collocati nelle organizzazioni in conformità agli articoli 37-39 GDPR e dotati delle risorse necessarie per svolgere i propri compiti.
L’EDPS ha pubblicato nel gennaio 2024 i risultati dettagliati, confermando l’importanza del DPO come figura strategica, rilevando: la presenza di conflitti di interesse, specialmente nei casi in cui il DPO ricopre altre funzioni all’interno dell’organizzazione; la carenza ricorrente di risorse (tempo, budget, personale) per espletare i propri compiti in modo efficace; carenza di reale autonomia da parte del DPO.
L’indagine ha portato a richieste di correzione o indagini formali in caso di mancato rispetto dei requisiti di indipendenza o di mancanza di risorse.
Il Garante italiano, da parte sua, ha partecipato all’azione coordinata, concentrandosi sulla parte “formale” della questione, ovverossia sulla verifica dell’obbligo di nomina e comunicazione dei dati di contatto del RPD/DPO.
Ad ogni modo, il fatto stesso che sia stato necessario un intervento coordinato a livello europeo per verificare l’effettività di principi del GDPR conferma che la questione dell’indipendenza e della posizione del DPO è un tema strutturale.
Il DPO come presidio costituzionale
La lettura combinata dei due nuovi documenti restituisce una visione precisa del ruolo del DPO nelle istituzioni UE, che non è un consulente interno né un responsabile operativo della compliance, in quanto rappresenta un presidio organizzativo a tutela di diritti fondamentali.
La giurisprudenza della Corte di giustizia, richiamata nella Guidance, ha chiarito che il divieto di rimozione mira a preservare l’indipendenza funzionale del DPO e, di conseguenza, l’effettività delle norme in materia di protezione dei dati. L’indipendenza è uno strumento di garanzia per i soggetti i cui dati vengono trattati: se la funzione può essere compressa o neutralizzata attraverso strumenti organizzativi interni, la tutela dei diritti diventa instabile.
Se anche le istituzioni europee (soggetti per definizione più vicini al legislatore e al regolatore) necessitano di una disciplina più stringente per garantire l’effettività dell’indipendenza del DPO, questo suggerisce che il problema non è marginale né circoscritto al settore privato, dove il tema dell’indipendenza, del conflitto di interessi e delle garanzie a presidio del ruolo sono da sempre temi critici.
Il GDPR non è carente sul piano normativo, è piuttosto la sua attuazione organizzativa a mostrare le crepe: la sola enunciazione di principi non basta a garantire l’autonomia di una funzione che opera in contesti organizzativi complessi, dove le tensioni tra esigenze operative e tutela dei diritti sono fisiologiche.
In questo senso, l’intervento dell’EDPS rivela i punti di frizione nella pratica, dopo quasi un decennio dall’entrata in vigore dal GDPR.
Ed è qui che la riflessione diventa inevitabile anche per il settore privato: se l’effettività dell’indipendenza richiede meccanismi procedurali e garanzie strutturali ulteriori rispetto alla mera enunciazione normativa, possiamo davvero ritenere che l’attuale disciplina del DPO nelle imprese sia sufficiente?
Il confronto con il settore privato: una figura formalmente tutelata, sostanzialmente debole
Nel settore privato, l’articolo 38 GDPR prevede identiche garanzie generali quali assenza di istruzioni, divieto di penalizzazione, riporto al vertice, anche se manca un meccanismo di consenso preventivo dell’autorità per la revoca del DPO.
Questo significa che, nella prassi, la cessazione anticipata del DPO può avvenire senza un controllo strutturato ex ante, salvo eventuali contestazioni successive.
La realtà organizzativa mostra poi ulteriori criticità. In molte imprese, soprattutto medio-grandi, il DPO interno è spesso collocato sotto la funzione Legal o Compliance; è valutato professionalmente dagli stessi soggetti le cui decisioni deve monitorare; partecipa operativamente a processi che dovrà poi verificare; molto spesso non dispone di un budget autonomo né di risorse adeguate.
Il risultato è una posizione formalmente indipendente ma sostanzialmente condizionata e carente sotto tutti i profili individuati dal GDPR.
Il nodo dell’indipendenza nelle imprese: conflitti di interesse e subordinazione gerarchica
È interessante il fatto che la nuova Guidance europea dedichi ampio spazio alla prevenzione dei conflitti di interesse.
Nel settore privato la sovrapposizione tra funzione DPO e funzioni operative è assolutamente frequente.
Quando il DPO coincide con l’Head of IT che ha progettato il sistema informativo, o con il Responsabile HR che determina finalità e modalità di trattamento dei dati dei dipendenti, il rischio di conflitto è strutturale ed era già stigmatizzato (con questi stessi esempi) dalle Linee Guida sul DPO del WP29. Il problema non si esaurisce tuttavia in questi casi “da manuale” perché esistono situazioni più sottili in cui il conflitto pur non immediatamente evidente, incide ugualmente sull’effettività del ruolo.
Basti pensare al DPO inserito nell’area Legal con compiti di gestione del contenzioso privacy e quindi chiamato a difendere scelte aziendali che dovrebbe valutare in modo indipendente; al DPO che partecipa ai comitati di innovazione o di marketing con potere deliberativo sui nuovi progetti digitali; al DPO che ha obiettivi economici o KPI collegati alla performance di business delle aree che monitora; o ancora al DPO che coordina un team che sviluppa sistemi di profilazione o analytics.
In tutte queste ipotesi il conflitto deriva dall’inserimento della funzione in processi decisionali o valutativi che ne condizionano l’autonomia.
Si tratta di una questione organizzativa, in cui la separazione tra controllo e gestione è una condizione elementare di buona governance.
In tutto ciò, nel modello EDPS, la rimozione del DPO per conflitto di interessi è ammessa come extrema ratio, in assenza di misure organizzative alternative; nel settore privato, invece, la gestione del conflitto è affidata alla valutazione discrezionale dell’impresa, senza vincoli particolari.
Il nodo irrisolto: nessuna disciplina organizzativa vincolante per le imprese
Nel settore privato manca infatti, ad oggi, una disciplina organizzativa secondaria o attuativa e analoga a quella prevista per le istituzioni UE.
Il GDPR enuncia principi chiari, quali indipendenza, assenza di istruzioni, divieto di penalizzazione, riporto al vertice; non impone però alle aziende l’adozione di regole interne dettagliate sulla posizione del DPO, non prevede un controllo preventivo dell’autorità in caso di revoca, non stabilisce requisiti organizzativi minimi in termini di collocazione gerarchica, risorse dedicate o meccanismi di gestione dei conflitti di interesse.
In definitiva, la configurazione della funzione resta affidata all’autonomia organizzativa dell’impresa.
Questa discrezionalità è coerente con il modello di accountability, ma quando riguarda una funzione di controllo diventa un punto di fragilità strutturale.
DPO: dai principi alla prassi organizzativa
Le indicazioni dell’EDPS riaffermano e rendono operativi quanto già contenuto nel GDPR.
Il fatto stesso che sia necessario per l’EDPS tornare a ribadire tali principi in modo così articolato suggerisce che la loro affermazione normativa non è stata sufficiente a radicarli nella prassi organizzativa.
Se l’indipendenza del DPO continua a essere compressa da logiche gerarchiche, da obiettivi economici o da assetti organizzativi che ne limitano l’autonomia, il problema è l’assenza di vincoli strutturali che rendano quei principi difficilmente eludibili.
Finché la configurazione della funzione DPO resterà integralmente rimessa alla scelta dell’impresa in termini di collocazione, risorse, modalità di valutazione, gestione dei conflitti, cessazione dell’incarico, l’effettività dell’indipendenza dipenderà più dalla cultura aziendale che dalla forza della norma.
E la cultura, come dimostra l’esperienza di questi anni, non sempre è sufficiente a garantire un presidio stabile dei diritti.
Il modello EDPS
Il modello delineato dall’EDPS offre in ogni caso spunti che il settore privato dovrebbe considerare con attenzione.
Primo, la procedimentalizzazione della revoca: l’indipendenza è garantita solo da un percorso verificabile.
Secondo, la centralità organizzativa della funzione: il DPO è riconosciuto nell’organigramma con un riporto diretto e con regole interne dettagliate che garantiscano l’effettività di tale riporto.
Terzo, l’obbligo di adottare implementing rules specifiche sulla funzione DPO, poiché non basta richiamare il GDPR, ma occorre tradurlo in regole interne operative.
Nel settore privato, raramente si riscontra un livello di formalizzazione analogo e che invece dovrebbe essere alla base del ruolo del DPO.
Verso una disciplina più organica del DPO nelle imprese: proposte concrete
Alla luce di quanto detto, per far sì che dalle riflessioni si passi alla realtà, alcune proposte concrete potrebbero essere realizzate con un intervento vincolante nei confronti delle aziende.
Una possibile evoluzione potrebbe consistere, almeno per determinate categorie di imprese o trattamenti ad alto rischio, in un obbligo di comunicazione preventiva all’autorità in caso di revoca anticipata del DPO.
Potrebbe essere opportuno avvicinare la disciplina del DPO a quella di funzioni di controllo interne (come ad esempio l’Internal Audit), che in molte organizzazioni gode di un effettivo riporto diretto al consiglio di amministrazione e di autonomia strutturale concreta.
Dopo un decennio, continuare a descrivere il DPO come una figura “ancora in fase di assestamento” rischia di diventare un alibi.
Ciò, sempre e solo a patto che si voglia considerare ancora la protezione dei dati come fondamentale per le imprese.
I controlli dell’Autorità Garante sul DPO
I controlli ispettivi delle Autorità di protezione dati dovrebbero inoltre dedicare uno spazio specifico e strutturato alla verifica della posizione, delle risorse e dell’effettiva indipendenza del DPO all’interno delle organizzazioni.
Non è sufficiente accertare la presenza formale della nomina o l’esistenza di una casella di posta dedicata.
Occorre verificare collocazione gerarchica, autonomia decisionale, gestione dei conflitti di interesse, coinvolgimento nei processi ad alto rischio e modalità di cessazione dell’incarico. Solo un’attenzione ispettiva sistematica su questi profili può far emergere le carenze strutturali che spesso restano invisibili nella documentazione formale di compliance.
Il DPO è un controllo interno o un consulente tollerato?
L’intervento dell’EDPS chiarisce che la funzione DPO è un elemento strutturale della governance dei dati.
Tuttavia, guardando al settore privato, la figura resta spesso sospesa tra ruolo di controllo e consulenza integrata nella linea operativa e, finché la revoca potrà avvenire senza un vaglio esterno e senza un onere probatorio strutturato, l’indipendenza resterà prevalentemente una vuota dichiarazione di intenti.
Il modello europeo dimostra che un assetto più rigoroso è possibile e compatibile con l’autonomia organizzativa.
Se il DPO resta un presidio che certifica decisioni già prese, la protezione dei dati sarà una variabile organizzativa, non un vincolo strutturale.
È questa la linea di demarcazione che le nuove regole dell’EDPS rendono evidente.
