Quando il DPO scrive la DPIA: il Garante Privacy dice no
Non basta avere un Responsabile della protezione dei dati. Bisogna anche saperne rispettare il ruolo ed i compiti a lui assegnati dall’art.39 del GDPR.
Lo ha ricordato con forza il Garante per la privacy nel provvedimento n. 202 del 10 aprile 2025, sanzionando una società partecipata del Comune di Milano per aver coinvolto il proprio Data Protection Officer nella redazione della valutazione d’impatto sul trattamento dei dati raccolti tramite telecamere intelligenti.
Secondo l’Autorità per la protezione dei dati personali, questa prassi compromette l’indipendenza del DPO e viola il Regolamento 679/2016, che impone al Responsabile della protezione dei dati di esprimere un parere autonomo, e non di redigere in prima persona la valutazione d’impatto (DPIA) ai sensi dell’art. 35 del GDPR.
Il conflitto di interessi è palese. Chi dovrebbe controllare non può essere anche autore del documento da valutare.
Il caso riguarda un sistema di videosorveglianza stradale avanzato, in grado di riconoscere utenti della strada e generare statistiche. Ma la DPIA, già carente nella sostanza e priva di data certa, è risultata ulteriormente viziata proprio per il coinvolgimento diretto del DPO nella sua redazione.
Una lezione chiara per tutte le organizzazioni. La compliance non è solo forma ma anche garanzia di ruoli autonomi e responsabilità ben definite.
