Guida al DPO (Data Protection Officer) — Tutto Quello che Devi Sapere

1. Chi è il DPO

Il Data Protection Officer (DPO), in italiano Responsabile della Protezione dei Dati (RPD), è la figura introdotta dal GDPR con gli articoli 37-39 per sorvegliare sul rispetto della normativa privacy all'interno di un'organizzazione. È un ruolo nuovo rispetto alla figura del "responsabile privacy" che esisteva prima del GDPR: il DPO ha requisiti specifici di competenza, obblighi di indipendenza e compiti definiti direttamente dal regolamento europeo.

Non è un consulente esterno generico, non è un avvocato che si occupa di privacy tra gli altri temi, non è un dipendente con un compito in più: è un ruolo strutturale previsto dalla legge con caratteristiche che vanno rispettate scrupolosamente.

2. Cosa fa il DPO: i compiti (art. 39)

L'articolo 39 del GDPR elenca i compiti del DPO:

• Informare e fornire consulenza al Titolare o al Responsabile del trattamento e ai dipendenti sui loro obblighi derivanti dal GDPR e dalle altre normative applicabili
• Sorvegliare l'osservanza del GDPR, delle politiche interne del Titolare o del Responsabile, anche tramite l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale, gli audit
• Fornire pareri in merito alla Valutazione d'Impatto sulla protezione dei dati (DPIA) e sorvegliarne lo svolgimento
• Cooperare con l'Autorità di controllo (il Garante in Italia)
• Fungere da punto di contatto con il Garante per questioni connesse al trattamento
• Essere punto di contatto per gli interessati per tutte le questioni relative al trattamento dei loro dati e all'esercizio dei diritti

In pratica, il DPO è il custode interno (o esterno) della conformità privacy: vigila, informa, forma, dialoga con il Garante e con gli interessati.

3. Quando è obbligatorio nominare un DPO

L'articolo 37 del GDPR prevede tre casi in cui la nomina del DPO è obbligatoria:

• Autorità pubbliche o organismi pubblici (eccetto le autorità giudiziarie nell'esercizio delle loro funzioni). Si traduce nell'obbligo per tutti i Comuni, le Regioni, le ASL, le scuole, le università, gli enti previdenziali.
• Soggetti la cui attività principale consiste in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala (es. piattaforme online con profilazione, grandi catene di vendita con fidelity program avanzati).
• Soggetti la cui attività principale consiste nel trattamento su larga scala di categorie particolari di dati (sanitari, biometrici, genetici, giudiziari).

Tradotto: tutti gli enti pubblici, le aziende che fanno profilazione su larga scala (banche, assicurazioni, telecom, retail strutturato), le strutture sanitarie significative. Per PMI con trattamenti standard l'obbligo non sussiste, ma la nomina volontaria rimane possibile e in molti casi vantaggiosa.

Il Provvedimento n. 5/2025 del Garante ha ribadito l'obbligo di nomina per tutti i Comuni, sanzionando quelli inadempienti. Per la PA italiana, la nomina del DPO non è una scelta.

4. I requisiti del DPO

L'articolo 37, comma 5, stabilisce che il DPO "è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all'articolo 39".

Il GDPR non prevede certificazioni obbligatorie, ma nella pratica sono considerate garanzie di competenza:

• Formazione specifica: master universitari di II livello in data protection
• Certificazioni secondo norme riconosciute (UNI 11697:2017 attestato da CEPAS/Bureau Veritas, CIPP/E dell'IAPP, certificazioni IDcert o equivalenti)
• Esperienza operativa documentata nella gestione della compliance GDPR
• Conoscenza del settore specifico del Titolare (la competenza "verticale" è un vantaggio concreto)
• Formazione continua documentata

Per approfondire, leggi Come Scegliere un DPO Esterno: 7 Criteri.

5. DPO interno o esterno: come scegliere

L'articolo 37, comma 6, prevede entrambe le possibilità: il DPO può essere un dipendente del Titolare oppure svolgere i suoi compiti in base a un contratto di servizi (DPO esterno).

La scelta dipende dalla dimensione dell'organizzazione, dal budget disponibile, dalla disponibilità di competenze interne e dalla necessità di garantire indipendenza strutturale. Per la maggior parte delle PMI, dei piccoli Comuni, degli studi professionali, dei piccoli operatori sanitari, il DPO esterno è la scelta più efficiente: garantisce competenze specialistiche aggiornate, indipendenza strutturale e costi prevedibili.

Per una comparazione completa, leggi DPO Interno vs Esterno: Vantaggi, Svantaggi e Costi.

6. Come si nomina un DPO

La procedura di nomina varia leggermente tra settore privato e pubblico.

Settore privato

1. Individuazione del soggetto (interno o esterno)
2. Verifica dei requisiti di competenza e assenza di conflitti di interesse
3. Stipula di un contratto (se DPO esterno) o lettera di incarico (se interno) con descrizione dei compiti, indipendenza, risorse, durata
4. Comunicazione dei dati di contatto del DPO al Garante tramite procedura online
5. Pubblicazione dei dati di contatto su canali accessibili agli interessati (sito web, informative)

Settore pubblico

1. Determina a contrarre del RUP con motivazione
2. Per importi sotto soglia: affidamento diretto (procedura semplificata)
3. Stipula del contratto di servizi
4. Comunicazione al Garante tramite procedura online
5. Pubblicazione dei dati di contatto sul sito istituzionale in sezione dedicata e in Amministrazione Trasparente

7. Quanto costa un DPO

I costi indicativi per il servizio DPO esterno (valori di mercato italiano 2026):

• Piccoli Comuni (fino a 5.000 abitanti): 1.500 - 2.500 €/anno
• Comuni medi (5.000 - 20.000 abitanti): 2.500 - 4.500 €/anno
• PMI fino a 50 dipendenti: 2.000 - 3.500 €/anno
• Aziende medie (50-200 dipendenti): 3.500 - 6.000 €/anno
• Strutture sanitarie: 3.000 - 10.000 €/anno (alta complessità)

Per approfondire tutti i costi GDPR, leggi Quanto Costa Adeguarsi al GDPR.

8. Le responsabilità del DPO

Il DPO ha responsabilità limitate: non risponde direttamente delle violazioni della normativa commesse dal Titolare. La responsabilità della conformità rimane in capo al Titolare del trattamento (art. 24 GDPR). Il DPO risponde verso il Titolare del corretto svolgimento dei propri compiti (consulenza, sorveglianza, cooperazione con il Garante).

Questo non significa che il DPO possa essere negligente: un DPO che non svolge i propri compiti può essere rimosso per giusta causa, può perdere certificazioni professionali e, in casi di grave inadempimento, può essere soggetto ad azioni di responsabilità professionale.