Il Data Protection Officer tra consulenza e sorveglianza: presidiare senza governare per non violare il GDPR
In un contesto normativo sempre più complesso, il ruolo del Responsabile della Protezione dei Dati (Data Protection Officer) si conferma come una delle figure centrali del sistema di governance della protezione dei dati.
Ma con questa centralità cresce anche il rischio di un’interpretazione distorta del suo mandato: una deriva che, “motivata” da esigenze organizzative o di efficienza, può compromettere la compliance alla privacy.
Il GDPR assegna infatti al Responsabile della Protezione dei Dati una funzione di garanzia, non di gestione. Gli articoli 35-39 del Regolamento UE 2016/679 ne delineano con precisione i compiti:
fornire consulenza sulle misure di conformità, monitorare l’applicazione delle norme, informare e formare il personale, cooperare con l’Autorità di controllo e vigilare sull’efficacia delle scelte adottate dal Titolare del trattamento.
Nulla, però, lo autorizza a definire finalità e mezzi del trattamento, né a svolgere attività esecutive o decisionali. Il suo valore non sta nel fare, ma nel controllare. Non nel decidere, ma nel consigliare.
Travalicando questo confine di presenta una deriva pericolosa: l’assunzione, da parte del Data Protection Officer, di compiti che spettano al titolare. Una prassi che, se seguita o tollerata (“sai, mancano risorse…”), viola il principio fondamentale dell’indipendenza, sancito all’articolo 38, comma 6, del GDPR.
Il Responsabile della Protezione dei Dati (RPD) non può perciò trovarsi in situazioni di conflitto di interessi. Non può essere al tempo stesso colui che elabora una scelta e colui chiamato a verificarne l’imparzialità. È una contraddizione che mina alla radice la funzione di controllo.
Un caso emblematico riguarda le valutazioni d’impatto sulla protezione dei dati (DPIA). Il Titolare ha l’obbligo di condurre tale valutazione quando il trattamento presenta un rischio elevato per i diritti e le libertà degli interessati. In questo processo, il RPD deve essere consultato tempestivamente, e il suo parere deve essere motivato e documentato.
Non è a lui però che spetta redigere il documento né, tantomeno, firmarlo. Se così fosse, si realizzerebbe una palese sovrapposizione di ruoli: chi redige l’atto non può essere lo stesso soggetto chiamato a sorvegliarne l’attuazione.
Con provvedimento n. 202/2025 il Garante ha sanzionato una organizzazione per aver affidato al Responsabile della Protezione dei Dati la redazione e la sottoscrizione della DPIA relativa a un sistema di videosorveglianza “intelligente”. L’Autorità ha ritenuto che tale comportamento compromettesse l’indipendenza di questa figura, violando gli articoli 35, 38 e 39 del GDPR. Analogamente, con provvedimento n. 802/2024 è stata sanzionata una società di recupero crediti per aver nominato un RPD in conflitto con la direzione aziendale.
Il messaggio è chiaro: il Data Protection Officer (DPO) non può essere parte del processo decisionale. Se lo è, perde la sua funzione di garanzia.
Per evitare tali derive, è essenziale distinguere il DPO da chi opera sul piano esecutivo. Esiste, infatti, nella architettura organizzativa una figura complementare e necessaria: il privacy manager. Si tratta di un soggetto, a volte dotato anche di risorse, a cui sono stati assegnati specifici compiti e funzioni dal titolare, chiamato a seguire gli adempimenti in materia di protezione dei dati personali (il riferimento è l’art. 2-quaterdecies del Codice Privacy).
Come “garante dell’imparzialità”, il Responsabile della Protezione dei Dati consiglia e vigila, mentre un privacy manager analizza e agisce. È quest’ultimo a coordinare le strutture interne, a presiedere alla redazione di informative e registri, a gestire i flussi documentali, a interfacciarsi con i fornitori. È il referente operativo della compliance, il facilitatore tra le diverse aree aziendali.
Se il privacy manager manca o è carente, il RPD non deve farsi carico delle sue funzioni. Non è suo compito “coprire il buco”. Al contrario, deve segnalare formalmente la carenza al titolare affinché intervenga.
Un assetto organizzativo conforme richiede, dunque, che il Responsabile della Protezione dei Dati disponga di accesso diretto al vertice strategico, possa ricevere tutte le informazioni necessarie e sia sostenuto da un sistema di supporto che non ne comprometta l’autonomia. I suoi pareri devono essere formalizzati, protocollati, tracciati e inseriti nella documentazione ufficiale, in modo che si possa dimostrare che sono stati considerati. Ma le decisioni finali restano sempre del Titolare, ed è quest’ultimo che ne risponde.
Posto che il GDPR prevede esplicitamente fra i compiti del RPD che fornisca consulenza (= una collaborazione specialistica) al Titolare, è utile ma forse superfluo che eventuali disposizioni interne specifichino ciò che è già implicito nelle disposizioni privacy ovvero che il privacy manager collabori con il RPD. Più importante è comunque la sostanza: se questa seconda collaborazione è interpretata in modo improprio, potrebbe tradursi in un improprio potere di indirizzo operativo del Data Protection Officer sul privacy manager.
Ma non può essere così. Il privacy manager agisce per conto del Titolare, non del Data Protection Officer. Il suo ruolo è quello di fornire pieno supporto organizzativo e informativo, affinché il RPD possa svolgere al meglio la sua funzione di controllo: in questo senso senz’altro ampia collaborazione ma senza che ciò si traduca nel diventare un suo “braccio operativo”, perché altrimenti si produrrebbe esattamente quel conflitto di ruoli che il GDPR vuole evitare.
E qui si arriva a un aspetto spesso trascurato: le conseguenze personali per il Responsabile della Protezione dei Dati che oltrepassi i propri compiti. Nei contesti pubblici, un intervento che vada oltre le funzioni assegnate — come assumere decisioni operative, gestire direttamente le DPIA o definire misure tecniche — potrebbe esporlo a contestazioni per danno erariale. Se da tali comportamenti derivasse un danno economico per l’ente (ad es. sanzioni da parte del Garante o richieste di risarcimenti in sede civile dagli interessati), egli potrebbe essere chiamato – assieme al Titolare - a risponderne per danno erariale, anche se le sanzioni del Garante che non possono “colpire” direttamente il RPD.
La responsabilità erariale richiede la prova del danno, del nesso causale e della colpa grave; non è peregrino che in ambito privacy possano esservi imputazioni per danno erariale (e alcuni provvedimenti già vanno in tal senso come la sentenza n. 35/2025 della Corte dei Cont, sezione giurisdizionale per la Valle d’Aosta).
Se il Responsabile della Protezione dei Dati si trasforma in gestore, agisce fuori dal proprio mandato con il rischio di chiamata in causa per ipotesi di danno erariale (oltre al Titolare che lo ha tollerato o, nel peggiore dei casi, costretto a comportamenti ultronei al proprio ruolo).
Una governance efficace richiede pertanto ruoli ben distinti, responsabilità chiare e un equilibrio solido tra chi decide, chi esegue e chi controlla. Solo così il Responsabile della Protezione dei Dati potrà svolgere la sua funzione di sentinella — senza rischiare di diventare – pur mosso dalle migliori intenzioni - un capro espiatorio.
