privacy

Il DPO deve essere indipendente: è un caso l’ultima sanzione del Garante

Home Sicurezza digitale Privacy
Indirizzo copiato

Il Garante sanziona una società per conflitto di interessi nella nomina del DPO. Ecco la lezione da apprendere sui requisiti normativi, le linee guida EDPB e l’importanza dell’indipendenza per una corretta compliance

Pubblicato il 7 mar 2025
Paola Zanellati

Responsabile Protezione dei Dati – DPO Consulente Privacy

Shutterstock_2296920153 (4)

Il 28 febbraio 2025, il Garante per la protezione dei dati personali ha sanzionato una società operante nel settore della riabilitazione creditizia per aver nominato come Responsabile della Protezione dei Dati (DPO) il proprio rappresentante legale, configurando un evidente conflitto di interessi.

Questa decisione ha riacceso il dibattito sulle condizioni necessarie affinché la nomina del DPO sia conforme al Regolamento Generale sulla Protezione dei Dati, GDPR, mettendo in evidenza le criticità legate a scelte inadeguate da parte delle aziende e l’importanza del ruolo indipendente che il DPO deve ricoprire all’interno di un’organizzazione.

Privacy, il DPO: chi è e come nominarlo

Requisiti e responsabilità del DPO secondo il Gdpr

L’articolo 37 del GDPR stabilisce i casi in cui è obbligatoria la designazione di un DPO, prevedendo tre principali situazioni:

  • Quando il trattamento dei dati è effettuato da un’autorità pubblica o un organismo pubblico;
  • Quando le attività principali del titolare o del responsabile consistono in trattamenti che, per la loro natura, ambito di applicazione e/o finalità, richiedono un monitoraggio regolare e sistematico degli interessati su larga scala;
  • Quando le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e reati.

L’articolo 38 del GDPR disciplina il ruolo del DPO, prevedendo l’obbligo per il titolare del trattamento di garantire che il DPO sia coinvolto in tutte le questioni relative alla protezione dei dati personali e che possa operare con autonomia e indipendenza. Inoltre, stabilisce che il DPO non possa ricevere istruzioni per quanto riguarda l’esecuzione dei suoi compiti e non possa essere rimosso o penalizzato per l’espletamento delle sue funzioni.

L’articolo 39 del GDPR elenca le funzioni del DPO, tra cui:

  • Informare e consigliare il titolare del trattamento e i dipendenti sugli obblighi derivanti dal GDPR e dalle normative nazionali;
  • Sorvegliare l’osservanza delle norme in materia di protezione dei dati e delle politiche interne dell’organizzazione;
  • Fornire pareri sulle valutazioni d’impatto sulla protezione dei dati (DPIA);
  • Cooperare con l’autorità di controllo e fungere da punto di contatto per quest’ultima.

Nomina dal DPO: le linee guida EDPB

Il Comitato Europeo per la Protezione dei Dati (EDPB), nelle proprie Linee Guida sulla figura del DPO (WP243 rev.01), ha chiarito ulteriormente le regole sulla nomina del Responsabile della Protezione dei Dati, stabilendo che:

  • Non possono essere nominati DPO coloro che ricoprono ruoli decisionali all’interno dell’organizzazione, come CEO, CFO, direttori IT, direttori HR o responsabili marketing, poiché queste figure determinano le finalità e i mezzi del trattamento e non garantirebbero indipendenza.
  • Il DPO deve essere indipendente e non deve essere soggetto a conflitti di interesse. L’EDPB evidenzia che, se il DPO ha altri ruoli all’interno dell’organizzazione, questi devono essere compatibili con le funzioni di sorveglianza e consulenza sulla protezione dei dati.
  • Il DPO deve riferire direttamente ai vertici dell’organizzazione e non può essere subordinato a figure che hanno ruoli operativi nella gestione dei dati personali.
  • Le organizzazioni devono documentare il processo di nomina e assicurarsi che il DPO abbia le competenze necessarie in materia di protezione dei dati personali.

L’articolo 37 del GDPR stabilisce che il DPO debba essere designato in determinati casi, come per enti pubblici o per organizzazioni che trattano su larga scala dati sensibili o particolari. Il compito principale del DPO è quello di sorvegliare l’applicazione della normativa sulla protezione dei dati, fornendo consulenza al titolare e al responsabile del trattamento e fungendo da punto di contatto per l’autorità di controllo. Tuttavia, l’articolo 38 del GDPR stabilisce che il DPO debba operare in modo indipendente, senza ricevere istruzioni per l’esecuzione delle sue funzioni e senza subire pressioni o influenze da parte del titolare del trattamento.

Il considerando 97 del Gdpr e l’indipendenza operativa del DPO

Il considerando 97 del Regolamento (UE) 2016/679 (GDPR) riguarda la nomina, il ruolo e l’indipendenza del Responsabile della Protezione dei Dati (DPO). Esso stabilisce che il DPO deve poter svolgere i suoi compiti in maniera indipendente e con risorse adeguate. In particolare, evidenzia che il DPO deve essere in grado di operare senza interferenze e con pieno accesso alle informazioni necessarie per svolgere le sue funzioni.

I punti chiave del Considerando 97 sono:

  • Obbligo di nomina del DPO per: autorità pubbliche (escluse le autorità giudiziarie nell’esercizio delle loro funzioni), aziende private che effettuano un monitoraggio regolare e sistematico su larga scala, aziende che trattano su larga scala categorie particolari di dati personali o dati relativi a reati e condanne penali.
  • Requisiti di competenza → Il DPO deve avere conoscenze specialistiche sulla normativa e sulle prassi in materia di protezione dei dati.
  • Indipendenza operativa → Il DPO deve essere in grado di operare senza interferenze, con accesso alle informazioni necessarie per svolgere i propri compiti.
  • Settore privato → Nel settore privato, la dimensione e la natura delle attività aziendali devono essere considerate per determinare la necessità di un DPO.

Il considerando 97 ha un’applicazione pratica e non teorica e chiarisce che un DPO non deve essere soggetto a influenze o pressioni gerarchiche da parte del titolare o del responsabile del trattamento. Questo principio è alla base del divieto di conflitto di interessi per il DPO (come sancito dall’articolo 38, comma 6 del GDPR), che è stato applicato nella sanzione del Garante della Privacy nel caso citato.

L’incompatibilità tra rappresentante legale e ruolo di DPO

La sanzione imposta dal Garante evidenzia come la nomina del rappresentante legale della società a DPO abbia violato il principio di indipendenza previsto dalla normativa. Il conflitto di interessi nasce dal fatto che il rappresentante legale, in quanto decision-maker aziendale, non può garantire un controllo imparziale ed esterno sulle decisioni prese in materia di protezione dei dati. Questa situazione mina alla radice il ruolo del DPO, trasformandolo in una figura meramente formale priva dell’autonomia necessaria per esercitare efficacemente le proprie funzioni. Il considerando 97 del GDPR sottolinea l’importanza dell’autonomia decisionale del DPO, specificando che deve essere in grado di adempiere ai suoi compiti senza subire interferenze. La violazione di questo principio può portare a una sanzione amministrativa significativa, come nel caso in esame, in quanto compromette l’efficacia dell’intero sistema di governance della protezione dei dati.

La questione del conflitto di interessi nella nomina del DPO è stata più volte affrontata anche dalle linee guida del Comitato Europeo per la Protezione dei Dati (EDPB), che hanno chiarito come determinate posizioni aziendali siano incompatibili con il ruolo di DPO. In particolare, le figure che determinano le finalità e i mezzi del trattamento dei dati, come i CEO, CFO o responsabili IT, non possono ricoprire il ruolo di DPO, poiché questo implicherebbe un’intrinseca contraddizione tra il dovere di controllo del DPO e il suo coinvolgimento nelle decisioni operative dell’azienda. Nel caso specifico, la nomina del rappresentante legale della società come DPO ha generato un’incompatibilità evidente, poiché quest’ultimo, in quanto decisore aziendale, era coinvolto direttamente nelle strategie di trattamento dei dati e nelle relative valutazioni di rischio.

Criteri per una corretta nomina del DPO

Una nomina corretta del DPO deve rispettare una serie di criteri fondamentali, garantendo che la persona designata abbia le competenze adeguate in materia di protezione dei dati e che possa operare con indipendenza all’interno dell’organizzazione. Il GDPR non specifica particolari qualifiche per il DPO, ma l’articolo 37 richiede che abbia una conoscenza specialistica della normativa e delle pratiche di protezione dei dati. L’esperienza richiesta varia a seconda della complessità del trattamento effettuato dall’organizzazione, ma è essenziale che il DPO possieda una conoscenza approfondita del GDPR, delle normative nazionali sulla privacy e delle tecnologie di sicurezza dei dati. Inoltre, deve essere collocato in una posizione aziendale che gli permetta di operare senza vincoli gerarchici che possano limitare la sua autonomia.

Le linee guida dell’EDPB raccomandano che il DPO riferisca direttamente ai vertici dell’organizzazione, senza alcuna interferenza da parte di altri dirigenti che potrebbero essere coinvolti nei processi di trattamento dei dati.

Il ruolo cruciale dei DPO per la tutela dei dati: il rapporto EDPB

Il DPO come elemento strategico per la compliance aziendale

Il ruolo del DPO non deve essere percepito come un obbligo burocratico, ma come un elemento centrale della strategia di conformità alla protezione dei dati. La sua funzione non si limita a garantire il rispetto delle normative, ma include anche la sensibilizzazione del personale e la promozione di una cultura aziendale orientata alla tutela dei dati personali. Le aziende che trattano grandi volumi di dati o dati particolarmente sensibili devono comprendere l’importanza di investire nella scelta di un DPO qualificato e indipendente, evitando nomine di comodo che possano compromettere l’integrità del sistema di protezione dei dati.

La decisione del Garante della Privacy di sanzionare la società di riabilitazione creditizia dimostra come la conformità al GDPR non possa essere trattata superficialmente. La nomina inadeguata del DPO rappresenta un rischio non solo dal punto di vista normativo, ma anche per la credibilità dell’azienda nei confronti di clienti e stakeholder. Un DPO con un chiaro conflitto di interessi non è in grado di garantire l’imparzialità necessaria per affrontare le sfide della protezione dei dati in un contesto sempre più complesso e regolamentato.

Lezioni apprese dalla sanzione del Garante

La vicenda fornisce un’importante lezione per tutte le organizzazioni chiamate a designare un DPO: la scelta di questa figura deve essere ponderata con attenzione, garantendo che possa operare con la necessaria indipendenza e competenza. È fondamentale evitare situazioni in cui il DPO si trovi a dover controllare le proprie decisioni, compromettendo l’efficacia del sistema di protezione dei dati e aumentando il rischio di sanzioni. Le aziende devono inoltre assicurarsi che il DPO disponga delle risorse adeguate per svolgere il proprio compito, evitando di relegare questa funzione a un ruolo puramente formale.

Il quadro normativo europeo si sta rafforzando sempre di più per garantire un’effettiva protezione dei dati personali, e la corretta applicazione delle regole sulla nomina del DPO è uno degli elementi chiave per garantire la conformità al GDPR. La nomina del DPO deve essere vista come un investimento strategico e non come un semplice adempimento normativo. Un’azienda che affida il ruolo di DPO a una figura indipendente e qualificata dimostra non solo di rispettare le normative, ma anche di avere un approccio responsabile e trasparente alla protezione dei dati personali. Il caso della società di riabilitazione creditizia evidenzia i rischi legati a scelte errate e sottolinea l’importanza di un’applicazione rigorosa delle regole, affinché il DPO possa effettivamente garantire la protezione dei dati e tutelare i diritti degli interessati in maniera efficace e imparziale.

La protezione dei dati come opportunità strategica per le organizzazioni

La protezione dei dati personali non può essere considerata un mero adempimento normativo, ma rappresenta un’opportunità strategica per le organizzazioni di dimostrare un approccio responsabile e proattivo a un tema di cruciale importanza. Un’adeguata compliance aziendale nel campo della protezione dei dati non solo riduce i rischi legali e le possibili sanzioni, ma rafforza la fiducia di clienti, dipendenti e stakeholder, distinguendo l’azienda come attenta alla tutela dei diritti fondamentali e alla sicurezza delle informazioni. In un mondo sempre più interconnesso e regolamentato, la conformità alla normativa sulla protezione dei dati non è solo una necessità, ma un fattore chiave per il successo e la competitività aziendale. Le organizzazioni che investono in un approccio solido e trasparente alla protezione dei dati avranno un vantaggio strategico nel lungo periodo, garantendo un equilibrio efficace tra innovazione, responsabilità e rispetto della privacy.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Z
Paola Zanellati
Responsabile Protezione dei Dati – DPO Consulente Privacy
Seguimi su

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Video & Podcast
Analisi
Social
Iniziative
Podcast
Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
Podcast
EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
Opinioni
La comunicazione dei fondi europei da obbligo ad opportunità
eBook
L'analisi della S3 in Italia
Norme UE
European Accessibility Act: passi avanti verso un’Europa inclusiva
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Podcast
Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
Podcast
EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
Opinioni
La comunicazione dei fondi europei da obbligo ad opportunità
eBook
L'analisi della S3 in Italia
Norme UE
European Accessibility Act: passi avanti verso un’Europa inclusiva
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • scenario

    Sistema pubblico di ricerca documentale, ecco cosa ci aspetta

    18 Lug 2024

    di Marco Deligios, Rachele Forner e Andrea Tironi

    Condividi

  • intelligenza artificiale

    Italia 9B: guida all'IA di iGenius per le aziende

    02 Lug 2024

    di Maurizio Stochino

    Condividi

  • privacy

    IA Generativa e data protection: strategie di conformità e best practice per le aziende

    01 Ago 2024

    di Chiara Benvenuto e Tommaso Mauri

    Condividi

Prossimo

Sistema pubblico di ricerca documentale, ecco cosa ci aspetta

Articolo 1 di 4