Col recente provvedimento n. 202 del 10 aprile 2025, il Garante per la protezione dei dati personali ha riaffermato con forza un principio spesso disatteso (per quanto evidentemente scontato): il Responsabile della Protezione dei Dati (DPO) deve essere una figura indipendente e autonoma, che vigila, ma non interviene direttamente, nelle scelte operative del titolare del trattamento. Conseguentemente, non può redigere la DPIA (Valutazione d’Impatto sulla Protezione dei Dati).
Spesso ci si abbandona alla seguente conclusione: “Ma tanto il DPO lo nominiamo interno, tanto vale che faccia tutto lui”. Ebbene, si tratta di un errore grave, ora anche ufficialmente sanzionato.
Un esempio (negativo) da manuale
L’Autorità Garante apprendeva da un articolo di stampa che, nel territorio del Comune di Milano, l’Agenzia Mobilità Ambiente e Territorio (AMAT), società in house strumentale partecipata al 100% dal comune del capoluogo lombardo, ha installato telecamere dotate di intelligenza artificiale per monitorare la mobilità urbana.
A seguito di istruttoria, l’Autorità accertava che:
- La DPIA era stata redatta dalla DPO interna;
- La stessa DPO aveva potere decisionale e operativo sul sistema di videosorveglianza;
- Il trattamento era stato avviato prima della conclusione della DPIA;
- E (dulcis in fundo) non esisteva una chiara separazione di ruoli e responsabilità.
Risultato: violazione dell’art. 38, par. 6, del Regolamento, in riferimento agli artt. 35, par. 2, e 39, par. 1, lett. c), del Regolamento.
La valutazione d’impatto sulla protezione dei dati
L’Autorità ha ricordato che, in caso di rischi elevati per gli interessati – derivanti, ad esempio, dall’utilizzo di nuove tecnologie e sempre presenti laddove sia effettuata una sorveglianza sistematica su larga scala di una zona accessibile al pubblico (v. art. 35, par. 3, lett. c), del Regolamento) – il titolare del trattamento deve effettuare una valutazione d’impatto sulla protezione dei dati al fine di adottare, in particolare, le misure adeguate ad affrontare tali rischi, consultando preventivamente il Garante, ove ne ricorrano i presupposti (v. artt. 35 e 36, par. 1, del Regolamento).
Redazione e sottoscrizione della valutazione d’impatto spettano al titolare del trattamento, ricadendo sullo stesso la responsabilità di adempiere a tale obbligo, come previsto dall’art. 35 del Regolamento.
Con riferimento al ruolo del RPD in tale contesto, il Regolamento prevede che il titolare del trattamento debba consultarsi con il responsabile della protezione dei dati (RPD), qualora ne sia designato uno (articolo 35, paragrafo 2) e il parere ricevuto, così come le decisioni prese dal titolare del trattamento, debbano essere documentati all’interno della valutazione d’impatto sulla protezione dei dati. Il responsabile della protezione dei dati deve, altresì, sorvegliare lo svolgimento della valutazione d’impatto sulla protezione dei dati (articolo 39, paragrafo 1, lettera c))”.
Nel caso di specie, avendo l’AMAT demandato al RPD l’onere di svolgere in prima persona e sottoscrivere la valutazione d’impatto sulla protezione dei dati, attribuendo allo stesso un compito che può dare “adito a un conflitto di interessi” (art. 38, par. 6, del Regolamento), la stessa ha posto il RPD in una situazione di conflitto d’interessi, tale da pregiudicare la possibilità per lo stesso di fornire in maniera indipendente e priva di condizionamenti il proprio parere in merito alla valutazione d’impatto sulla protezione dei dati che avrebbe dovuto effettuare il titolare.
Come, infatti, evidenziato dall’Autorità, ancorché con riferimento alla situazione in cui il ruolo di RPD sia rivestito da una figura con funzioni dirigenziali all’interno dell’organizzazione del titolare del trattamento, “situazioni di conflitti di interessi si possono registrare con riferimento alla sovrapposizione dell’incarico di RPD con quello di dirigente dell’unità organizzativa chiamata a curare la valutazione d’impatto sulla protezione dei dati relativa ad uno specifico trattamento, considerato che, a questo proposito, al RPD spettano specifiche prerogative di consultazione, da parte del titolare del trattamento (artt. 35, par. 2, e 39, par. 1, lett. c), del Regolamento), che verrebbero del tutto svuotate per effetto della citata coincidenza soggettiva”.
Irrilevante, dunque, nel caso di specie la circostanza che il RPD non avesse qualifica dirigenziale, atteso che la contestazione mossa all’Agenzia non riguardava un conflitto d’interessi derivante, sul piano generale, dalla posizione e dal ruolo rivestivo dal RPD all’interno della propria organizzazione, bensì lo specifico conflitto d’interesse determinatosi per aver l’Agenzia chiesto al RPD di occuparsi della materiale redazione della valutazione d’impatto sulla protezione dei dati, anche sottoscrivendo la stessa, circostanza questa che si pone in contrasto con quanto previsto dal Regolamento in merito al fatto che il RPD debba fornire il proprio parere indipendente in merito alla valutazione d’impatto sulla protezione dei dati predisposta dal titolare del trattamento.
Il Garante lo aveva già detto (e anche scritto)
Il provvedimento del 10 aprile 2025 si collega idealmente a una pronuncia precedente, quella n. 802 del 19 dicembre 2024, nella quale il Garante aveva messo nero su bianco che il DPO deve essere libero da vincoli gerarchici e operativi e che deve riferire direttamente al vertice del titolare o del responsabile.
In quel caso, si contestava a una società (attiva nel settore del recupero crediti) di avere un DPO che era al contempo anche socio, amministratore e referente operativo della società, con accesso indistinto a tutti i dati dei clienti.
La violazione era evidente: nessuna indipendenza, nessun ruolo di controllo, nessuna trasparenza.
Perché è importante (anche per i privati e le PMI)
Spesso le PMI – e anche enti pubblici minori – trattano il DPO come un tappabuchi multifunzione: fa le informative, tiene il registro, scrive la DPIA, aggiorna i firewall. Ma questa prassi è non solo rischiosa, è anche incompatibile con il GDPR.
Il DPO deve essere una figura di garanzia, non un braccio operativo. Se scrive la DPIA, poi come fa a “valutarla”? Sarebbe come far validare un bilancio al commercialista che l’ha redatto senza controllo terzo.
Conclusioni: linee guida (concrete) per non sbagliare
- Mai assegnare al DPO la redazione della DPIA: può fornire consulenza, ma non firmarla, né determinarne i contenuti.
- Evitare conflitti d’interesse: il DPO non può essere anche CIO, responsabile IT, direttore legale o dirigente con potere decisionale.
- Formalizzare ruoli e attività: assegna chiaramente in organigramma chi fa cosa (e chi non deve fare cosa).
- Garantire canali di comunicazione diretti tra DPO e vertici: se il DPO risponde al middle management, non è autonomo.
Il GDPR è una norma viva, non un adempimento morto
Non basta avere un DPO, serve capire cosa deve fare e soprattutto cosa non può fare. I provvedimenti del Garante non sono meri atti sanzionatori: sono strumenti preziosi per costruire una cultura della protezione dati seria e sostenibile, anche (e soprattutto) nei contesti ibridi pubblico/privato.
Per trattare i dati in modo conforme bisogna iniziare trattando bene il DPO: non è un tuttofare, ma il garante interno del rispetto delle regole. E, a ben vedere, la prima linea di difesa.