Diversi provvedimenti del Garante, aldilà delle sanzioni e misure correttive applicate, possono essere letti in chiave pedagogica, come interventi volti a inquadrare in maniera pertinente il ruolo del responsabile della protezione dei dati (DPO).

Ecco quattro provvedimenti che rispecchiano situazioni eterogenee, nonché la presenza di interpretazioni inadeguate o riduttive della funzione del DPO.

Il ruolo del responsabile per la protezione dei dati (DPO)

Il Regolamento UE 679/2016 (GDPR) fornisce indicazioni chiare, ancorché generali, in merito al ruolo del Responsabile per la protezione dei dati (DPO). Inoltre numerosi chiarimenti sono stati forniti anche attraverso orientamenti delle Autorità di controllo.

Tra questi spiccano le Guidelines on Data Protection Officers del Gruppo di lavoro Art. 29 (poi, con il GDPR, evoluto nell’EDPB) nonché il Documento di indirizzo emesso nel 2021 dal Garante privacy italiano, dedicato specificamente al DPO in ambito pubblico.

Eppure permangono frequenti situazioni non compliant. Ciò evidenzia come sia ancora necessario promuovere una maggiore consapevolezza circa l’importanza e le responsabilità che accompagnano la figura del DPO.

Ecco i quattro provvedimenti nel dettaglio.

Provvedimento n. 5/2025 – Omissione della nomina del DPO

Tra i casi esaminati, si segnala il Provvedimento n. 5/2025, emesso dal Garante a seguito dell’accertamento d’ufficio relativo a un Comune che non aveva provveduto alla designazione del Responsabile per la protezione dei dati.

Durante l’istruttoria, l’ente non ha presentato alcuna memoria difensiva, fatto che lascia supporre una mancata conoscenza degli obblighi normativi oppure una tacita conferma della violazione.

Nella sua decisione, l’Autorità ribadisce con forza che per le pubbliche amministrazioni la nomina del DPO è un adempimento obbligatorio e vincolante. Deve essere accompagnata dalla pubblicazione dei dati di contatto del soggetto designato nella pagina principale del sito istituzionale e comunicati all’Autorità esclusivamente tramite il portale dedicato.

Il Garante precisa che tali obblighi non sono formali, bensì funzionali al buon operare del sistema privacy: il DPO deve essere effettivamente reperibile sia dagli interessati che dalle Autorità, in modo da poter assolvere pienamente la sua funzione di controllo autonomo e di supporto nell’adempimento degli obblighi normativi.

Il mancato rispetto di tali prescrizioni comporta l’applicazione di sanzioni pecuniarie e misure correttive ai sensi dell’articolo 58 del GDPR.

Al riguardo si evidenzia pure che la nomina senza la pubblicazione dei dati di contatto impatta anche sulla trasparenza sostanziale e depotenzia il ruolo del DPO.

Provvedimento n. 167/2025: mancato coinvolgimento del DPO

La fattispecie riguarda l’uso di dispositivi per la gestione delle presenze mediante rilevazione di dati biometrici (impronta digitale) presso una scuola sulla base del consenso degli interessati e senza consultare il DPO, facendo affidamento sulle informazioni rese dal fornitore dell’applicativo.

Il Garante, chiamato in causa da alcuni lavoratori, con Provvedimento n. 167/2025, ha inibito il trattamento dei dati biometrici ribadendo indicazioni già fornite in passati interventi sottolineando che il trattamento di dati biometrici richiede particolari garanzie per l’adozione e idonea base legale, in questo caso assente.

Fra l’altro il Garante sottolinea che “il consenso non costituisce, di regola, un valido presupposto per il trattamento di dati personali in ambito lavorativo”.

Per quanto qui rileva, poi, il Garante evidenzia il coinvolgimento (mancato) del DPO che avrebbe consentito allo stesso di far emergere gli specifici ed elevati rischi per le libertà ed orientare in maniera diversa la scelta.

Inoltre, dal Provvedimento non emerge il coinvolgimento delle rappresentanze sindacali ai fini di una dialettica più articolata per contemperare esigenze di legalità nella rilevazione delle presenze e diritti dei lavoratori.

Provvedimento n. 202/2025: conflitto d’interessi nella figura del DPO

Il terzo Provvedimento, il n. 202/2025, trae origine da un articolo giornalistico che descriveva l’installazione di un sofisticato sistema di videosorveglianza urbana, in grado di identificare pedoni e ciclisti e produrre report statistici.

Pur partendo da informazioni limitate, il Garante ha ritenuto opportuno attivare un’istruttoria per verificare la conformità del trattamento alla normativa privacy.

Durante l’esame istruttorio è emersa una criticità significativa. Infatti, la valutazione d’impatto sulla protezione dei dati (DPIA) era stata redatta direttamente dal DPO (ancorché affiancato da una società esterna incaricata della progettazione del sistema di videosorveglianza).

Posto che il GDPR non vieta, in via generale, il cumulo di ruoli, questa circostanza ha generato un conflitto di interessi per il DPO che ha elaborato un documento centrale che lo può vedere coinvolto solo per rendere un parere e poi sorvegliarne lo svolgimento (art. 39 punto 1 lett. c GDPR), vanificando il contraddittorio e compromettendo l’obiettività e l’autonomia del DPO.

Richiamo al modello salute e sicurezza sul lavoro

A titolo esplicativo, ma senza intendere stabilire paralleli normativi tra settori diversi, si può fare riferimento al modello previsto dal D.lgs. n. . 81/2008 in materia di salute e sicurezza sul lavoro che prevede diverse figure, fra cui il responsabile del servizio di prevenzione e protezione (RSPP) – che risponde del suo operato al datore di lavoro (art. 2 punto 1.f) – e il medico competente (MC) di cui va tutelata l’autonomia (art. 39)

L’eventuale assunzione da parte di un’unica persona di entrambi i ruoli, sebbene non vietata, può generare tensioni tra imparzialità e operatività nonché sul riconoscimento dell’autonomia del medico competente.

Valutazione dei rischi e di privacy nella nomina di un unico soggetto

La nomina di un solo soggetto come RSPP e MC, in possesso ovviamente dei pertinenti requisiti, andrebbe pertanto attentamente approfondita vagliando tutte le implicazioni in tema di valutazione dei rischi e di privacy per adottare le procedure del caso.

Per esempio:

• redigere una relazione interna che giustifichi la scelta, considerando la dimensione aziendale, il numero di lavoratori e la complessità del contesto produttivo;
• definizione procedurale di come vengono separate le attività di valutazione dei rischi (RSPP) e quelle di sorveglianza sanitaria (MC);
• inserimento di una nota esplicativa nel Documento di valutazione dei rischi, motivando la decisione e garantendo che non vi è stato condizionamento sulla funzione medica).

L’indipendenza del responsabile per la protezione dei dati (DPO)

Analogamente anche per il DPO la copertura di altri ruoli è possibile purché ciò non incida sulla sua indipendenza e sulla effettiva possibilità di svolgere il suo incarico, tenuto conto della complessità e consistenza dei diversi carichi di lavoro, come può per esempio avvenire in una grande organizzazione.

Inoltre, il ruolo del DPO deve restare distinto e autonomo dalle decisioni su mezzi e finalità del trattamento ed essere messo nelle condizioni di esercitare efficacemente le sue funzioni di controllo e consulenza.

Pertanto dovrà essere coinvolto sin dalle prime fasi di impostazione di un trattamento, fornendo pareri tracciabili e coerenti, contribuendo a costruire una governance della privacy solida e verificabile.

Parallelismo

Pur potendo il datore di lavoro assumere direttamente il ruolo di RSPP (ai sensi dell’art. 34 del Testo Unico Sicurezza), non potrà mai sostituirsi al medico competente, che rappresenta una figura che deve operare in autonomia.

In ambito privacy, analogamente, il titolare del trattamento, anche qualora decidesse di occuparsi direttamente degli aspetti applicativi della privacy, dovrà comunque nominare un DPO quando previsto dall’art. 37 del GDPR, non potendo egli stesso ricoprirne le funzioni.

Provvedimento n. 243/2025: il DPO come figura attiva nella gestione dei trattamenti

L’ultimo caso preso in esame è il Provvedimento n. 243/2025, emesso a seguito di un controllo sul trattamento dei log dei dipendenti da parte di un ente regionale.

Tali log includevano dati relativi alla posta elettronica, alla navigazione web e alle attività del servizio informatico (help desk), giudicati non conformi ai principi generali del GDPR, in termini di durata della conservazione e di legittimazione (assenza di accordo sindacale o autorizzazione dell’Ispettorato Nazionale del Lavoro).

L’Amministrazione si è adoperata per avviare la sistemazione delle carenze in corso di istruttoria e l’Autorità ha sottolineato anche il “virtuoso contributo” del DPO per garantire la compliance sostanziale.

Questo caso rappresenta un esempio significativo di come un DPO realmente coinvolto e competente possa trasformarsi in un asset strategico per l’ente.

Non solo garanzia formale, ma interlocutore attivo nel percorso di adeguamento normativo, pronto a intervenire proattivamente durante l’istruttoria del Garante.

Spunti operativi

Le fattispecie analizzate offrono riflessioni utili per delineare linee guida applicative chiare. Da esse emergono alcuni punti fermi:

• autonomia reale del DPO: una nomina meramente formale non produce effetti concreti. Il titolare deve garantire che il DPO sia autonomo e indipendente, in grado di poter operare senza condizionamenti interni;
• coinvolgimento preventivo: il DPO deve essere informato tempestivamente su nuovi trattamenti o su modifiche agli stessi come, per esempio, per l’adozione di soluzioni software esterne, anche al solo fine di valutarne la compatibilità con la normativa privacy;
• collaborazione con le parti sociali: il titolare dovrebbe coinvolgere/informare le organizzazioni sindacali quando vengano messe in atto iniziative che attengano al controllo dei lavoratori (ai sensi dell’art. 4 del della legge n. 300/1970 – Statuto dei Lavoratorie del D.lgs. al D.lgs. 104/2022 che stabilisce l’obbligo per i datori di lavoro di informare i dipendenti e i rappresentanti sindacali sull’uso di strumenti tecnologici che incidono sulla gestione del rapporto di lavoro). E queste ultime comunque dovrebbero farsi parte attiva per la tutela dei lavoratori anche sotto il profilo della tutela della privacy;
• separazione tra governance e operatività: il DPO non deve sovrapporsi alla struttura operativa interna preposta alla gestione dei dati. La sua funzione è consulenziale e di supervisione, mai sostitutiva;
• proattività vs passività: un DPO consapevole e proattivo può favorire processi di privacy by default e by design, contribuendo a integrare la protezione dei dati fin dalla progettazione. Viceversa, un DPO passivo o accondiscendente snatura il ruolo stesso, rischiando di causare sanzioni e, in ambito pubblico, di incorrere in responsabilità erariali, mentre in ambito privato in danni patrimoniali.

Il DPO come presidio attivo di accountability

Dalle fattispecie oggetto di intervento del Garante emerge con forza che il DPO non è un semplice organo burocratico, bensì un attore essenziale per realizzare il principio di responsabilizzazione (accountability) previsto dal Regolamento generale sulla protezione dei dati.

La sua efficacia cresce esponenzialmente se il DPO viene coinvolto sin dall’inizio ed è dotato di legittimazione e autonomia decisionale.

Solo così potrà svolgere appieno il suo compito di vigilanza, orientamento e consulenza.

In quest’ottica, i provvedimenti del Garante richiedono una metabolizzazione e diventare perno per una crescita della consapevolezza della complessità che il trattamento dei dati personali può comportare.

I provvedimenti non sono solo ammonizioni o sanzioni, ma vanno considerate vere e proprie “lezioni operative”, capaci di indicare modelli virtuosi, migliorare processi e valorizzare figure professionali spesso invisibili, ma cruciali per la tutela dei diritti fondamentali.

Per dirla con l’Amleto di Shakespeare, “Assume a virtue, if you have it not”:
il ruolo del DPO non si improvvisa. Ma richiede formazione, consapevolezza e una convinta assunzione di responsabilità (da retribuire adeguatamente).

In un’epoca in cui i dati personali costituiscono una delle risorse più sensibili e strategiche, investire nella competenza e nell’autonomia del DPO, non è solo un obbligo giuridico, ma una scelta di civiltà.