Il DPO (Data Protection Officer), in Italia denominato RPD – Responsabile della protezione dei dati, è la figura di controllo e consulenza sulla privacy prevista dagli artt. 37-39 del Regolamento (UE) 2016/679 (GDPR). La sua nomina è obbligatoria in tre casi (art. 37, par. 1): quando il trattamento è svolto da un’autorità o organismo pubblico; quando le attività principali del titolare o del responsabile consistono in un monitoraggio regolare e sistematico degli interessati su larga scala; quando le attività principali consistono nel trattamento su larga scala di categorie particolari di dati (art. 9) o di dati relativi a condanne penali e reati (art. 10). Attenzione a un equivoco frequente: il RPD non è il responsabile della conformità né risponde delle violazioni. La responsabilità del trattamento resta in capo al titolare; il RPD informa, sorveglia e assiste, ma non decide al posto dell’organizzazione. Questa guida chiarisce quando la nomina è dovuta, quali sono i compiti, come si garantiscono indipendenza e assenza di conflitti, e come comunicare i dati di contatto al Garante.
Quando la nomina è obbligatoria (art. 37)
I tre presupposti dell’art. 37, par. 1 vanno letti con attenzione ai concetti chiave: “attività principali”, “larga scala”, “monitoraggio regolare e sistematico”.
| Caso | Presupposto | Esempi tipici |
|---|---|---|
| Settore pubblico | Trattamento svolto da autorità o organismo pubblico (esclusa l’autorità giudiziaria nell’esercizio delle funzioni giurisdizionali) | Comuni, ASL, scuole, università, ministeri |
| Monitoraggio su larga scala | Attività principali che richiedono monitoraggio regolare e sistematico degli interessati su larga scala | Piattaforme di profilazione, adtech, telco, credit scoring |
| Dati particolari o giudiziari | Attività principali basate sul trattamento su larga scala di dati art. 9 o art. 10 | Strutture sanitarie, laboratori, agenzie di sicurezza |
Le “attività principali” sono quelle che costituiscono il cuore dell’attività, non le funzioni di supporto (la gestione della busta paga o dell’IT interno di norma non lo è). “Larga scala” si valuta considerando numero di interessati, volume e varietà dei dati, durata e ambito geografico del trattamento. Anche fuori dai casi obbligatori, molte organizzazioni scelgono una nomina volontaria: in tal caso valgono comunque gli obblighi di posizione e compiti degli artt. 38 e 39.
I compiti del RPD (art. 39)
L’art. 39 elenca i compiti minimi del RPD:
- informare e fornire consulenza al titolare, al responsabile e ai dipendenti sugli obblighi derivanti dal GDPR e dalle altre norme in materia;
- sorvegliare l’osservanza del Regolamento e delle politiche interne, comprese l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale, e gli audit;
- fornire pareri sulla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento (art. 35, par. 2);
- cooperare con il Garante e fungere da punto di contatto per l’Autorità sulle questioni connesse ai trattamenti, anche in caso di consultazione preventiva.
Il RPD è inoltre il punto di riferimento per gli interessati, che possono contattarlo per tutte le questioni relative al trattamento dei loro dati e all’esercizio dei diritti. Nel dare i pareri, il RPD tiene conto del rischio connesso ai trattamenti, considerando la natura, l’ambito, il contesto e le finalità.
Indipendenza e posizione (art. 38)
L’efficacia del RPD dipende dalla sua indipendenza, garantita dall’art. 38:
- il titolare e il responsabile lo coinvolgono tempestivamente e adeguatamente in tutte le questioni riguardanti la protezione dei dati;
- gli forniscono le risorse necessarie per assolvere i compiti e per mantenere la propria conoscenza specialistica;
- il RPD non riceve istruzioni in merito all’esecuzione dei compiti, non può essere rimosso o penalizzato per il loro svolgimento e riferisce direttamente ai vertici dell’organizzazione;
- può svolgere altri compiti, purché non determinino un conflitto di interessi: non può ricoprire ruoli in cui finisce per decidere finalità e mezzi dei trattamenti che poi dovrebbe controllare (tipicamente non può essere il direttore IT, il responsabile marketing, il responsabile delle risorse umane o l’amministratore delegato).
Il vincolo di segretezza o riservatezza nell’esecuzione dei compiti completa il quadro. È proprio l’indipendenza a spiegare perché il RPD non risponde delle scelte del titolare: la sua funzione è di controllo e consulenza, non di gestione.
RPD interno o esterno
La nomina può ricadere su un dipendente (RPD interno) o essere affidata a un professionista o a una società in base a un contratto di servizi (RPD esterno). L’art. 37, par. 5 richiede in ogni caso qualità professionali adeguate, in particolare una conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, proporzionata alla complessità dei trattamenti.
| Aspetto | RPD interno | RPD esterno |
|---|---|---|
| Conoscenza del contesto | Elevata | Da acquisire |
| Indipendenza | Da presidiare (conflitti di ruolo) | Strutturalmente più agevole |
| Continuità e disponibilità | Immediata | Regolata da contratto e SLA |
| Competenze aggiornate | Da formare | Di norma già consolidate |
| Adatto a | Grandi organizzazioni | PMI ed enti con trattamenti circoscritti |
Non esiste un albo o una certificazione obbligatoria per legge: le certificazioni volontarie possono attestare le competenze, ma non sono un requisito. Per le PMI la scelta esterna è spesso la più efficiente e può integrarsi con strumenti di gestione della conformità; sul tema è utile la guida al software GDPR per le PMI.
La comunicazione dei dati di contatto al Garante
Il titolare (o il responsabile) che nomina un RPD deve pubblicarne i dati di contatto e comunicarli al Garante (art. 37, parr. 6 e 7). Il Garante mette a disposizione una procedura online dedicata, accessibile dal proprio sito, per trasmettere i recapiti del RPD e per aggiornarli in caso di variazione o revoca. È buona prassi indicare i recapiti del RPD nelle informative e in una pagina del sito, così che interessati e Autorità possano raggiungerlo con facilità. La comunicazione genera un codice di conferma da conservare come evidenza dell’adempimento.
Il RPD non è il “responsabile della conformità”
È l’aspetto più frainteso. Il RPD sorveglia, consiglia e coopera con l’Autorità, ma non “firma” la conformità dell’organizzazione né la sostituisce nelle decisioni. La responsabilità di attuare le misure — tenere il registro dei trattamenti, formalizzare gli atti di nomina dei responsabili ex art. 28, gestire la notifica delle violazioni al Garante — resta del titolare. Il RPD dispone perché queste attività siano svolte correttamente e le sorveglia; ma se l’organizzazione ignora i suoi pareri, la responsabilità ricade su chi decide, non su chi consiglia. Strumenti come Legiscope aiutano titolare e RPD a lavorare sugli stessi dati — registro, DPIA, audit dei fornitori — riducendo il divario tra i pareri del RPD e la loro effettiva attuazione.
Per approfondire: gli artt. 37-39 del Regolamento (UE) 2016/679 su EUR-Lex e le indicazioni e la procedura di comunicazione del Garante per la protezione dei dati personali. Il quadro nazionale è nel Codice Privacy, D.lgs. 196/2003 aggiornato dal D.lgs. 101/2018 su Normattiva.
Domande frequenti
La mia PMI deve nominare un RPD?
Non automaticamente. L’obbligo scatta solo nei tre casi dell’art. 37, par. 1: ente pubblico, monitoraggio regolare e sistematico su larga scala come attività principale, o trattamento su larga scala di dati particolari o giudiziari. Una piccola impresa che tratta i dati dei clienti per la normale attività commerciale spesso non rientra nell’obbligo, ma può nominare volontariamente un RPD: in tal caso deve rispettarne comunque indipendenza e compiti.
Il titolare o l’amministratore possono fare da RPD?
No, se ciò genera un conflitto di interessi. L’art. 38, par. 6 vieta che il RPD ricopra ruoli in cui determina finalità e mezzi dei trattamenti che poi dovrebbe controllare. Amministratore delegato, direttore IT, responsabile marketing e responsabile del personale sono di regola incompatibili con la funzione. È preferibile una figura interna neutrale o un RPD esterno.
Il RPD risponde delle sanzioni del Garante?
No. La responsabilità del trattamento e delle relative sanzioni resta in capo al titolare (e, per i suoi obblighi, al responsabile). Il RPD non è sanzionato per le scelte dell’organizzazione: la sua funzione è di sorveglianza e consulenza indipendente. Proprio per questo l’art. 38 vieta di rimuoverlo o penalizzarlo per l’esercizio dei suoi compiti.
Conclusione
Il RPD/DPO è una funzione di garanzia, non un adempimento burocratico. Va nominato quando ricorre uno dei tre casi dell’art. 37, dotato dell’indipendenza e delle risorse dell’art. 38 e messo in condizione di svolgere i compiti dell’art. 39, con i dati di contatto comunicati al Garante tramite l’apposita procedura online. Il punto da tenere sempre presente è che il RPD consiglia e sorveglia, mentre la responsabilità della conformità resta del titolare: un’organizzazione che ascolta il proprio RPD e ne attua i pareri trasforma questa figura da obbligo formale a reale presidio del rischio.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial