Protezione dei dati

DPO/RPD 2026: nomina, compiti e quando è obbligatorio (art. 37-39 GDPR)

DPO/RPD nel 2026: quando la nomina è obbligatoria (art. 37), i compiti (art. 39), l'indipendenza (art. 38) e la comunicazione dei dati di contatto al Garante.

Il DPO (Data Protection Officer), in Italia denominato RPD – Responsabile della protezione dei dati, è la figura di controllo e consulenza sulla privacy prevista dagli artt. 37-39 del Regolamento (UE) 2016/679 (GDPR). La sua nomina è obbligatoria in tre casi (art. 37, par. 1): quando il trattamento è svolto da un’autorità o organismo pubblico; quando le attività principali del titolare o del responsabile consistono in un monitoraggio regolare e sistematico degli interessati su larga scala; quando le attività principali consistono nel trattamento su larga scala di categorie particolari di dati (art. 9) o di dati relativi a condanne penali e reati (art. 10). Attenzione a un equivoco frequente: il RPD non è il responsabile della conformità né risponde delle violazioni. La responsabilità del trattamento resta in capo al titolare; il RPD informa, sorveglia e assiste, ma non decide al posto dell’organizzazione. Questa guida chiarisce quando la nomina è dovuta, quali sono i compiti, come si garantiscono indipendenza e assenza di conflitti, e come comunicare i dati di contatto al Garante.

Quando la nomina è obbligatoria (art. 37)

I tre presupposti dell’art. 37, par. 1 vanno letti con attenzione ai concetti chiave: “attività principali”, “larga scala”, “monitoraggio regolare e sistematico”.

Caso Presupposto Esempi tipici
Settore pubblico Trattamento svolto da autorità o organismo pubblico (esclusa l’autorità giudiziaria nell’esercizio delle funzioni giurisdizionali) Comuni, ASL, scuole, università, ministeri
Monitoraggio su larga scala Attività principali che richiedono monitoraggio regolare e sistematico degli interessati su larga scala Piattaforme di profilazione, adtech, telco, credit scoring
Dati particolari o giudiziari Attività principali basate sul trattamento su larga scala di dati art. 9 o art. 10 Strutture sanitarie, laboratori, agenzie di sicurezza

Le “attività principali” sono quelle che costituiscono il cuore dell’attività, non le funzioni di supporto (la gestione della busta paga o dell’IT interno di norma non lo è). “Larga scala” si valuta considerando numero di interessati, volume e varietà dei dati, durata e ambito geografico del trattamento. Anche fuori dai casi obbligatori, molte organizzazioni scelgono una nomina volontaria: in tal caso valgono comunque gli obblighi di posizione e compiti degli artt. 38 e 39.

I compiti del RPD (art. 39)

L’art. 39 elenca i compiti minimi del RPD:

  • informare e fornire consulenza al titolare, al responsabile e ai dipendenti sugli obblighi derivanti dal GDPR e dalle altre norme in materia;
  • sorvegliare l’osservanza del Regolamento e delle politiche interne, comprese l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale, e gli audit;
  • fornire pareri sulla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento (art. 35, par. 2);
  • cooperare con il Garante e fungere da punto di contatto per l’Autorità sulle questioni connesse ai trattamenti, anche in caso di consultazione preventiva.

Il RPD è inoltre il punto di riferimento per gli interessati, che possono contattarlo per tutte le questioni relative al trattamento dei loro dati e all’esercizio dei diritti. Nel dare i pareri, il RPD tiene conto del rischio connesso ai trattamenti, considerando la natura, l’ambito, il contesto e le finalità.

Indipendenza e posizione (art. 38)

L’efficacia del RPD dipende dalla sua indipendenza, garantita dall’art. 38:

  • il titolare e il responsabile lo coinvolgono tempestivamente e adeguatamente in tutte le questioni riguardanti la protezione dei dati;
  • gli forniscono le risorse necessarie per assolvere i compiti e per mantenere la propria conoscenza specialistica;
  • il RPD non riceve istruzioni in merito all’esecuzione dei compiti, non può essere rimosso o penalizzato per il loro svolgimento e riferisce direttamente ai vertici dell’organizzazione;
  • può svolgere altri compiti, purché non determinino un conflitto di interessi: non può ricoprire ruoli in cui finisce per decidere finalità e mezzi dei trattamenti che poi dovrebbe controllare (tipicamente non può essere il direttore IT, il responsabile marketing, il responsabile delle risorse umane o l’amministratore delegato).

Il vincolo di segretezza o riservatezza nell’esecuzione dei compiti completa il quadro. È proprio l’indipendenza a spiegare perché il RPD non risponde delle scelte del titolare: la sua funzione è di controllo e consulenza, non di gestione.

RPD interno o esterno

La nomina può ricadere su un dipendente (RPD interno) o essere affidata a un professionista o a una società in base a un contratto di servizi (RPD esterno). L’art. 37, par. 5 richiede in ogni caso qualità professionali adeguate, in particolare una conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, proporzionata alla complessità dei trattamenti.

Aspetto RPD interno RPD esterno
Conoscenza del contesto Elevata Da acquisire
Indipendenza Da presidiare (conflitti di ruolo) Strutturalmente più agevole
Continuità e disponibilità Immediata Regolata da contratto e SLA
Competenze aggiornate Da formare Di norma già consolidate
Adatto a Grandi organizzazioni PMI ed enti con trattamenti circoscritti

Non esiste un albo o una certificazione obbligatoria per legge: le certificazioni volontarie possono attestare le competenze, ma non sono un requisito. Per le PMI la scelta esterna è spesso la più efficiente e può integrarsi con strumenti di gestione della conformità; sul tema è utile la guida al software GDPR per le PMI.

La comunicazione dei dati di contatto al Garante

Il titolare (o il responsabile) che nomina un RPD deve pubblicarne i dati di contatto e comunicarli al Garante (art. 37, parr. 6 e 7). Il Garante mette a disposizione una procedura online dedicata, accessibile dal proprio sito, per trasmettere i recapiti del RPD e per aggiornarli in caso di variazione o revoca. È buona prassi indicare i recapiti del RPD nelle informative e in una pagina del sito, così che interessati e Autorità possano raggiungerlo con facilità. La comunicazione genera un codice di conferma da conservare come evidenza dell’adempimento.

Il RPD non è il “responsabile della conformità”

È l’aspetto più frainteso. Il RPD sorveglia, consiglia e coopera con l’Autorità, ma non “firma” la conformità dell’organizzazione né la sostituisce nelle decisioni. La responsabilità di attuare le misure — tenere il registro dei trattamenti, formalizzare gli atti di nomina dei responsabili ex art. 28, gestire la notifica delle violazioni al Garante — resta del titolare. Il RPD dispone perché queste attività siano svolte correttamente e le sorveglia; ma se l’organizzazione ignora i suoi pareri, la responsabilità ricade su chi decide, non su chi consiglia. Strumenti come Legiscope aiutano titolare e RPD a lavorare sugli stessi dati — registro, DPIA, audit dei fornitori — riducendo il divario tra i pareri del RPD e la loro effettiva attuazione.

Per approfondire: gli artt. 37-39 del Regolamento (UE) 2016/679 su EUR-Lex e le indicazioni e la procedura di comunicazione del Garante per la protezione dei dati personali. Il quadro nazionale è nel Codice Privacy, D.lgs. 196/2003 aggiornato dal D.lgs. 101/2018 su Normattiva.

Domande frequenti

La mia PMI deve nominare un RPD?

Non automaticamente. L’obbligo scatta solo nei tre casi dell’art. 37, par. 1: ente pubblico, monitoraggio regolare e sistematico su larga scala come attività principale, o trattamento su larga scala di dati particolari o giudiziari. Una piccola impresa che tratta i dati dei clienti per la normale attività commerciale spesso non rientra nell’obbligo, ma può nominare volontariamente un RPD: in tal caso deve rispettarne comunque indipendenza e compiti.

Il titolare o l’amministratore possono fare da RPD?

No, se ciò genera un conflitto di interessi. L’art. 38, par. 6 vieta che il RPD ricopra ruoli in cui determina finalità e mezzi dei trattamenti che poi dovrebbe controllare. Amministratore delegato, direttore IT, responsabile marketing e responsabile del personale sono di regola incompatibili con la funzione. È preferibile una figura interna neutrale o un RPD esterno.

Il RPD risponde delle sanzioni del Garante?

No. La responsabilità del trattamento e delle relative sanzioni resta in capo al titolare (e, per i suoi obblighi, al responsabile). Il RPD non è sanzionato per le scelte dell’organizzazione: la sua funzione è di sorveglianza e consulenza indipendente. Proprio per questo l’art. 38 vieta di rimuoverlo o penalizzarlo per l’esercizio dei suoi compiti.

Conclusione

Il RPD/DPO è una funzione di garanzia, non un adempimento burocratico. Va nominato quando ricorre uno dei tre casi dell’art. 37, dotato dell’indipendenza e delle risorse dell’art. 38 e messo in condizione di svolgere i compiti dell’art. 39, con i dati di contatto comunicati al Garante tramite l’apposita procedura online. Il punto da tenere sempre presente è che il RPD consiglia e sorveglia, mentre la responsabilità della conformità resta del titolare: un’organizzazione che ascolta il proprio RPD e ne attua i pareri trasforma questa figura da obbligo formale a reale presidio del rischio.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →