chi è il data protection officer? Ecco cosa prevede la legislazione europea

Dal 25 maggio 2018 sarà obbligatoria nelle imprese dei 28 Stati aderenti all’UE una nuova figura professionale, il DPO. Il Data Protection Officer, questo il nome per esteso, è stato introdotto a seguito dell’approvazione del nuovo regolamento europeo sulla privacy e sarà l’addetto ufficiale alla tutela dei dati personali. In alcuni Paesi dell’Unione sono presenti già da qualche anno i Chief Privacy Officer (CPO), il Privacy Officer ed il Data Security Officer, ma le imprese italiane fanno ancora fatica a capirne il ruolo e l’importanza. L’obbligatorietà del DPO imposto dall’UE farà sicuramente in modo che tutti recepiscano i requisiti del GDPR, ossia il nuovo Regolamento europeo per Data Protection, che si basa su tre principi

Data protection by design, ossia la tutela del dato sin dal momento della progettazione;


L’accountability e quindi la responsabilizzazione sia delle imprese private che delle Pubbliche Amministrazioni per garantire la massima trasparenza dei processi;


L’istituzione del DPO.


Data protection by design, ossia la tutela del dato sin dal momento della progettazione;

L’accountability e quindi la responsabilizzazione sia delle imprese private che delle Pubbliche Amministrazioni per garantire la massima trasparenza dei
Data protection by design, ossia la tutela del dato sin dal momento della progettazione;

L’accountability e quindi la responsabilizzazione sia delle imprese private che delle Pubbliche Amministrazioni per garantire la massima trasparenza dei processi;processi;


  1. Data protection by design, ossia la tutela del dato sin dal momento della progettazione
  2. L’accountability e quindi la responsabilizzazione sia delle imprese private che delle Pubbliche Amministrazioni per garantire la massima trasparenza dei processi 
  3. L’istituzione del DPO
Anche se ad oggi emerge ancora molta discrezionalità sulle azioni da compiere per adempiere al GDPR, entriamo subito nel dettaglio per scoprire di più in materia di dati e privacy.

Chi è il DPO?

Anche se sembrano mancare delle linee guida precise sulle qualità professionali del DPO, un gruppo di esperti e garanti nazionali (WP29) ha contribuito a delineare in modo più chiaro che tipo di professionalità viene richiesta dall’Unione Europea. Il Data Protection Officer sarà quindi il vero e proprio garante della privacy dell’impresa in cui opera e sarà il datore di lavoro a dover decidere chi ricoprirà tale carica. Il professionista dovrà sicuramente interfacciarsi con le autorità di controllo, gli interessati e le divisioni operative dell’azienda o dell’Ente che si occuperanno dei dati. Le competenze richieste vanno dall’ambito giuridico, all’informatica e al risk management, fino all’analisi dei processi. Il suo compito principale sarà infatti l’osservazione, la valutazione e la gestione dei dati personali per garantire il pieno rispetto delle normative sulla privacy europee e nazionali. 

È richiesta la massima autonomia ed indipendenza al DPO per scongiurare una situazione di conflitto di interessi che potrebbe innescarsi se a ricoprire questa figura fosse un referente già interno all’impresa. Per portare un esempio pratico, va citato il caso di una società tedesca che, avendo individuato nell’IT manager il nuovo Data Protection Officer, è stata multata dal Garante per la Protezione dei Dati Personali. 

A rafforzare il principio di indipendenza di questa figura arriva anche l’art. 38 del GDPR, il quale stabilisce che:

Il DPO non deve ricevere istruzioni sui compiti da svolgere

Deve poter svolgere le sue mansioni nella piena indipendenza ed è bene evitare che questo sia un soggetto già assunto nell’organico in settori implicati nel trattamento dei dati personali (oltre che per il rischio di conflitto di interessi)

Non può essere rimosso o penalizzato dal datore di Deve poter svolgere le sue mansioni nella piena indipendenza ed è bene evitare che questo sia un soggetto già assunto nell’organico in settori implicati nel trattamento dei dati personali (oltre che per il rischio di conflitto di interessi)lavoro


  • Il DPO non deve ricevere istruzioni sui compiti da svolgere
  • Deve poter svolgere le sue mansioni nella piena indipendenza ed è bene evitare che questo sia un soggetto già assunto nell’organico in settori implicati nel trattamento dei dati personali (oltre che per il rischio di conflitto di interessi) 
  • Non può essere rimosso o penalizzato dal datore di lavoro
  • Il Data Protection Officer può esprimere pareri contrari sui processi in atto direttamente al Titolare o Responsabile del trattamento.
  • Il DPO non deve ricevere istruzioni sui compiti da svolgere;

  • Deve poter svolgere le sue mansioni nella piena indipendenza ed è bene evitare che questo sia un soggetto già assunto nell’organico in settori implicati nel trattamento dei dati personali (oltre che per il rischio di conflitto di interessi);

  • Non può essere rimosso o penalizzato dal datore di lavoro;

  • Il Data Protection Officer può esprimere pareri contrari sui processi in atto direttamente al Titolare o Responsabile del trattamento.


Come scegliere il DPO?

Le aziende che vorranno scegliere un proprio dipendente come DPO dovranno innanzitutto evitare una persona che sia coinvolta in qualsiasi modo nei processi di trattamento dei dati personali. Il contratto di servizio, che andrà stipulato con il professionista, deve essere in questo senso quanto più dettagliato e preciso possibile, per evitare sin da subito il verificarsi di un conflitto di interessi. Per ricoprire il ruolo di DPO può invece essere tranquillamente scelto un libero professionista, mentre restano esclusi l’amministratore delegato dell’azienda, il responsabile operativo, il responsabile finanziario o sanitario, il direttore marketing e quello HR.

Dubbi sul regolamento europeo

In molti hanno riscontrato mancanze sull’istituzione del DPO nei 28 Paesi UE: ad esempio non è chiaro chi sarà davvero obbligato ad assumerne uno e seguendo quali modalità. Riguardo alle PA non ci sono dubbi, mentre resta un enorme margine di discrezione per gli studi legali, le assicurazioni, le banche e per chi fornisce servizi di telecomunicazioni. Allo stesso modo, le grandi realtà che lavorano nel mondo del marketing e dell’e-commerce dovranno sicuramente fare riferimento a società terze per adempiere alla nuova regolamentazione, poiché la quantità di dati trattati è davvero ingente.
Rimaniamo quindi in attesa di chiarimenti da parte del Garante italiano per recepire a pieno questa figura senza margine di errore. 

< torna alla pagina precedente