Data economy

Privacy, il Garante ribadisce il ruolo indipendente del Dpo

L’Autorità ha sanzionato una società per non aver rispettato il principio di indipendenza del Data Protection Officer

di Rocco Panetta

11 March 2025

3' min read

I punti chiave

Il caso sui conflitti di interesse
La valutazione del Garante
Un intervento di grande importanza
L’indispensabilità del Dpo

3' min read

Viviamo tempi estremamente delicati, caratterizzati da un rimescolamento di regole, ruoli, posizioni, con un’alta propensione alla litigiosità e all’alterazione dei valori fondanti delle nostre civiltà, il che porta all’incertezza e alla crisi dei sistemi che reggono il nostro quotidiano, dalla famiglia alla scuola, dalla politica, ai mercati, alle relazioni sociali, fisiche o virtuali che esse siano.

Le nostre democrazie sono il risultato, nei secoli, di centinaia di scossoni analoghi, se non anche più radicali e violenti. Pertanto sebbene sia saggio tenere alta la guardia sui valori e le regole della nostra Costituzione e dei Trattati, occorre ugualmente, per quanto possibile, tornare ad occuparci delle attività quotidiane, non dimenticando che le nostre istituzioni, per fortuna continuano a lavorare come sempre a fianco di cittadini, imprese e pubbliche amministrazioni. Questo è il caso, ad esempio, del Garante per la protezione dei dati personali che con una importante pronuncia appena resa pubblica, torna a sottolineare l’importanza dei Data Protection Officer (Dpo). Con il provvedimento n. 802 del 19 dicembre 2024, pubblicato pochi giorni fa, l’Autorità ha sanzionato una società per non aver rispettato il principio di indipendenza del Dpo, facendo così emergere la centralità di questa funzione per imprese ed enti pubblici.

Il caso sui conflitti di interesse

Nell’ambito di un’istruttoria che ha portato all’accertamento di alcune violazioni data protection, il Garante ha sanzionato l’impresa per non aver rispettato i requisiti di indipendenza, autonomia e assenza di conflitti di interessi che devono assistere la nomina e lo svolgimento dell’incarico di Dpo.

Nel caso al vaglio dell’Autorità, ad essere designato come Dpo era stato lo stesso rappresentante legale della società nei cui confronti dovevano essere esercitati i compiti di controllo e consulenza affidati a questa funzione dal Gdpr.

La valutazione del Garante

Questa scelta è stata considerata dall’Autorità contra legem e meritevole di sanzione. Il Garante ha precisato che la funzione di Dpo è «del tutto incompatibile con quello di rappresentante legale della società presso la quale è designato, in quanto il medesimo soggetto che determina i mezzi e le finalità dei trattamenti non può avere la necessaria indipendenza per esercitare anche i compiti di sorveglianza, sull’osservanza della disciplina e sulle politiche del titolare in materia di protezione dei dati personali […] affidati appunto a un soggetto (anche interno) a cui deve essere tuttavia assicurata una condizione di indipendenza».

Per il Garante, «[l]a valutazione circa l’eventuale sussistenza di incompatibilità connesse allo svolgimento di incarichi che comportano poteri decisionali in ordine ai trattamenti di dati personali (come nel caso del rappresentante legale della società) avrebbe dovuto comportare l’impossibilità del perfezionamento della designazione che, anche ove effettuata, come nel caso di specie, risulta comunque nulla».

Un intervento di grande importanza

A quasi sette anni dall’entrata in applicazione del Gdpr esistono ancora casi – fortunatamente sempre più isolati – di totale disapplicazione delle regole fondanti la materia della circolazione e protezione dei dati personali.

Occorre dunque fare un plauso a questa Autorità, che con difficoltà e perennemente sotto organico riesce a portare avanti attività di indagine e sanzionatorie come questa, che hanno un valore che supera di gran lunga il singolo caso concreto.

L’indispensabilità del Dpo

Al contempo, questo intervento fa emergere ancora una volta la crescente importanza del Dpo per tutte le aziende. Andando ben oltre ai casi di nomina obbligatoria previsti dal Gdpr, il mercato ha già ampiamente dimostrato che questa funzione, quando correttamente nominata e dotata di adeguate risorse, è in grado di determinare rilevanti esternalità positive, ed economie di scala, per ogni organizzazione.

Nello svolgere i propri compiti di controllo e consulenza, il Dpo rappresenta infatti la figura chiave per affrontare le sfide e abbracciare le opportunità della data economy, incluse quelle poste dall’intelligenza artificiale. Un Dpo che svolge con rigore ed elasticità, al tempo stesso, i suoi compiti, anche con la semplice impostazione di proporzionati tempi di retention dei dati, può dare la stura ad enormi risparmi nella gestione di banche dati diversamente abbandonate a sè stesse, pletoriche e mai aggiornate, il cui valore in termini economici è totalmente sopravanzato dai costi di gestione. Un Dpo che sa svolgere i suoi compiti, anche perché ben motivato e valorizzato nella catena del valore della governance aziendale, è una risorsa enorme per le aziende e le p.a.

Occorre dunque continuare a investire nei Dpo, garantendo costantemente i requisiti previsti dal Gdpr, come l’indipendenza e il riporto diretto ai vertici aziendali, tenendolo tuttavia distinto da questi e da ogni altra funzione di business.