trattamento dati

DPO e sanzioni Gdpr: quello che le aziende non hanno ancora capito

Le sanzioni DPO emesse dal Garante della Privacy continuano a evidenziare una gestione superficiale della figura del Responsabile della protezione dei dati. Un’analisi delle ultime ordinanze mostra come errori banali ma gravi siano ancora all’ordine del giorno

Pubblicato il 7 ago 2025

Marco Catalano

Avvocato, Consulente privacy

Alfredo Zallone

Avvocato, Consulente privacy

“Non è la prima e non sarà neanche l’ultima” (purtroppo).

È sicuramente un fatto che, dopo oltre 8 anni dall’entrata in vigore del Regolamento UE n. 2016/679 (GDPR), le aziende vengono ancora oggi sanzionate per violazione delle norme sul DPO (Data Protection Officer), conosciuto anche come Responsabile della protezione dei dati personali.

Autonomia e indipendenza del DPO: garanzie e oneri delle norme privacy

Esempio calzante è il provvedimento di ingiunzione n. 802 del 19 dicembre 2024 [doc. web n. 10106904] dell’Autorità Garante per la protezione dei dati personali (il “Garante”) per la somma di 70.000 euro in cui, per farla breve, tra i rilievi accertati vi sono: mancata comunicazione dei dati di contatto del DPO al Garante e la sussistenza di un conflitto d’interesse del DPO designato in quanto Rappresentante legale dell’azienda in questione.

Ora, delle due l’una: o la norma non è chiara (diciamo anche di no) oppure c’è ancora un po’ di superficialità sul tema (per non dire altro).

Eppure, siamo in un’epoca in cui, anche con l’avvento dirompente dell’IA, il tema dei dati personali ha assunto ormai un rilievo primario in tutte i settori merceologici e, considerata anche l’attenzione delle aziende, sia pubbliche che private, su nuovi progetti, app, iniziative in cui la protezione dei dati la fa da padrone, è possibile che dobbiamo fare i conti ancora con il DPO?

Ora, di sensibilizzazione sul tema ce né tanta, da parecchio tempo, e se in azienda – ancora oggi – non ci si pone il problema “DPO sì/DPO no” vuol dire che forse c’è qualche problemino, dal momento che ormai basta fare banali ricerche per capire di cosa si stia parlando. Ecco, specifichiamo: capire di cosa si stia parlando non significa diventare “cinture nere” di privacy, e certamente non vuol dire che la persona che ha fatto le ricerche minime necessarie per capire se serva il DPO o meno possa ricoprire tale ruolo.

Indice degli argomenti

Il ruolo del dpo richiede competenze specifiche

Bisogna avere capacità e competenze trasversali per assolvere questo ruolo, che non si inventano dall’oggi al domani.

È un peccato che serva “imporre” l’applicazione della norma attraverso la sanzione amministrativa, come nel caso del provvedimento menzionato, ma allo stesso modo questa dimostra che c’è ancora un po’ di strada da fare.

Perché parliamoci chiaro, il Responsabile della protezione dei dati personali, come indicato nelle FAQ disponibili sul sito del Garante “è un soggetto designato dal titolare o dal responsabile del trattamento che ha il ruolo di assolvere a funzioni di supporto e di controllo, consultive, formative e informative relativamente all’applicazione del RGPD” nell’azienda oltreché essere il punto di contatto con il Garante e con gli interessati, in merito alle questioni connesse al trattamento dei dati personali.

Sembra lampante quindi che non è l’uomo della strada che possa svolgere tali compiti anzi, a venirci incontro, è proprio il GDPR che al Considerando 97 spiega come “[…] il titolare del trattamento o il responsabile del trattamento dovrebbe essere assistito da una persona che abbia una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati nel controllo del rispetto a livello interno del presente regolamento. Nel settore privato le attività principali del titolare del trattamento riguardano le sue attività primarie ed esulano dal trattamento dei dati personali come attività accessoria. Il livello necessario di conoscenza specialistica dovrebbe essere determinato in particolare in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento. Tali responsabili della protezione dei dati, dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente […]”.

Violazioni frequenti: designazione e conflitto d’interessi

È un fatto, quindi, che le aziende devono affidarsi a professionisti del settore.

Alcune sanzioni emesse dal Garante

Di provvedimenti di ingiunzione emessi dal Garante ve ne sono molti, tra l’altro diversi l’uno dall’altro relativamente alle violazioni accertate.

Vi sono violazioni che riguardano proprio la mancata designazione del DPO in settori, ritenuti obbligatori dalla norma stessa. Ed infatti l’art. 37, paragrafo 1, del GDPR dispone che: “1. Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta: a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.”

Ve ne sono altre invece che riguardano i requisiti che il soggetto che assume questo ruolo deve possedere. Ed infatti, l’art. 38 del GDPR prevede al 3° paragrafo “[…] Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. […]” oppure al 6° paragrafo “Il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi.”.

Ad esempio, è interessante l’ordinanza di ingiunzione emessa dal Garante nei confronti di un Comune con provvedimento n. 174 del 12 maggio 2022 [doc. web n. 9781242] per l’importo di € 6.000 in cui il Garante affermava come “[…] Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune, per aver comunicato a terzi i dati personali del reclamante in assenza di un’idonea base giuridica, per non aver tempestivamente adempiuto all’obbligo di designare un RPD, per aver nominato un RPD in posizione di conflitto d’interessi, nonché per aver omesso di comunicare all’Autorità e di pubblicare i dati di contatto del RPD, in violazione degli artt. 5, par. 1, lett. a), 6, 37, par. 1, lett. a), e par. 7, nonché 38, par. 6, del Regolamento. […]”.

Errori nella comunicazione al Garante

Ma vi sono altri casi possono riguardare altre questioni. Si pensi al paragrafo 7 dell’art. 37 del GDPR che prevede, con particolare riferimento ai dati del Responsabile della protezione dei dati dell’ente, come “Il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all’autorità di controllo.”.

Sul punto si può aprire il vaso di pandora perché le contestazioni possono essere varie: mancate comunicazioni al Garante del DPO, mancata comunicazione di variazione del DPO, errata compilazione del modulo di designazione online e, come si suol dire, “chi più ne ha, più ne metta”.

In tal senso, appare utile richiamare il provvedimento n. 166 del 27 aprile 2023 [doc. web n. 9896450] emesso sempre nei confronti di un altro Comune per l’importo di € 8.000 in cui il Garante ha rilevato come il titolare del trattamento non avesse comunicato la variazione dei dati di contatto del DPO: “[…] Inoltre, nel corso dell’istruttoria, è risultato che il Comune – contrariamente a quanto previsto dal RGPD (art. 37, comma 7) – non aveva provveduto a comunicare a questa Autorità la variazione dei dati del proprio Responsabile della protezione dei dati. Nello specifico, risultava una difformità fra l’identità del soggetto designato RPD (e i relativi dati di contatto) pubblicati sul sito web istituzionale del Comune e quelli comunicati al Garante dal medesimo Ente con precedente nota prot. n. XX del XX. […]”.

Oppure il provvedimento n. 119 del 7 aprile 2022 [doc. web n. 9773950] con cui il Garante ha sanzionato un Comune per aver inserito nel modulo di contatto del DPO – inviato all’Autorità – l’indirizzo PEC del Comune stesso. Sul punto, infatti, il Garante ha precisato che “[…] Come, infatti, chiarito dal Garante, i titolari del trattamento devono “rendere disponibili, sia nei confronti del pubblico che dell’Autorità, una casella “istituzionale” ad hoc attribuita specificamente al solo RPD, evitando l’utilizzo di caselle che siano direttamente espressione del titolare del trattamento (ad esempio, perché richiamano l’“amministrazione”, la “segreteria” o il “protocollo”)”; peraltro, anche affinché sia “effettivamente indipendente nell’esercizio delle sue funzioni (come richiesto dal cons. 97 del Regolamento)”, il RPD deve poter essere “contattato attraverso canali che riconducano direttamente a lui, senza l’intermediazione di uffici facenti capo al titolare […]”

Sullo stesso filone si richiamano altri quattro provvedimenti di inizio 2024 in cui a farne i conti è sempre il settore pubblico: due comuni e due province. Tali provvedimenti si innestano all’interno della fase di indagine eseguita dal Garante per verificare il rispetto dell’obbligo di comunicazione all’Autorità dei dati di contatto del DPO.

In particolare, con il provvedimento n. 6 dell’11 gennaio 2024 [9979112] il Garante ha emesso un’ordinanza di ingiunzione di € 5.000 ad un Comune che, seppure avesse designato internamente due DPO, uno nel 2018 e successivamente nel 2022, non aveva mai effettuato la comunicazione all’Autorità, venendo meno a quanto previsto dalla norma. In tale occasione il Garante spiegava come “[…] si aggiunge che “L’articolo 37, settimo paragrafo, del RGPD impone al titolare o al responsabile del trattamento di pubblicare i dati di contatto del RPD, e di comunicare i dati di contatto del RPD alle pertinenti autorità di controllo. Queste disposizioni mirano a garantire che tanto gli interessati (all’interno o all’esterno dell’ente/organismo titolare o responsabile) quanto le autorità di controllo possano contattare il RPD in modo facile e diretto senza doversi rivolgere a un’altra struttura operante presso il titolare/responsabile” (par. 2.6). […]”.

La superficialità costa anche nel pubblico

Stessa violazione è stata accertata nei confronti di un Consorzio di un altro Comune, con il provvedimento n. 7 dell’11 gennaio 2024 [9979128] e nei confronti di due Province, con i provvedimenti dell’11 gennaio 2024 n. 8 [9979152] e n. 9 [9979171]. Infatti, in questi altri tre casi, il Garante ha ingiunto il pagamento dell’importo di € 2.000 per mancata comunicazione dei dati di contatto del DPO all’Autorità, in violazione dell’art. 37, par. 7, del GDPR, considerato però che sul sito istituzionale dei titolari erano stati pubblicati i dati di contatto del DPO.

Da considerare che in tutti e quattro gli ultimi casi citati “resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro 30 giorni dalla data della notifica del presente provvedimento, […]”.

Appare opportuno fare una riflessione su questo punto: è un fatto che in questi casi sopra citati ad essere oggetto di un provvedimento di ingiunzione sono le pubbliche amministrazioni ma l’importo delle sanzioni – e l’eventuale pagamento “dimezzato” della stessa – non deve indurre il lettore a pensare che tutto sommato è meglio pagare la sanzione anziché affidarsi a professionisti della materia che dovrebbero (quantomeno) evitare di far commettere questi errori alle aziende, pubbliche e private.

Domande chiave per valutare il DPO

Sicuramente chi si occupa in modo serio della materia sa bene che non basta designare il DPO ma che occorre fare la comunicazione all’Autorità Garante oppure creare una casella di posta dedicata o anche che occorre, nel caso di revoca/dimissioni del DPO, effettuare la comunicazione di variazione utilizzando il modulo online messo a disposizione dal Garante.

Ebbene, una corretta analisi delle competenze del soggetto che deve ricoprire il ruolo del DPO (e la contestuale e proporzionata quotazione anche in termine economici del servizio/attività resa) consente alle aziende di non incorrere in errore e di poter gestire dedicare tempo e risorse alla gestione effettiva del trattamento dei dati personali e non a evitabili errori grossolani.

Veniamo pertanto ad alcune riflessioni quali, ad esempio:

Una volta designato il DPO, è stata effettuata la comunicazione al Garante?
È stato verificato che la persona che ricopre il ruolo di DPO non si trovi in situazione di conflitto d’interessi?
È stata assegnata allo stesso una casella di posta dedicata?
Vengono garantiti al DPO tempo e risorse per l’effettivo ruolo “istituzionale” dello stesso in azienda?
Il DPO è davvero autonomo e indipendente?
Sono state valutate prima della sua designazione le competenze ed il know how dello stesso?
In caso di revoca dell’incarico o dimissioni, sono state prese in considerazione le ulteriori attività di comunicazione con l’Autorità?

DPO e responsabilità: questione di metodo

In conclusione, è compito del Titolare, a seconda dei casi concreti e fin da subito, affidarsi a vere “cinture nere” di privacy per garantire la corretta applicazione della norma ed evitare che il DPO finisca per diventare come Benjamin Malaussène che, come noto, di professione è capro espiatorio.

@RIPRODUZIONE RISERVATA