Il Data Protection Officer (DPO) deve essere nominato obbligatoriamente da tre categorie di soggetti: le autorità e gli organismi pubblici, le organizzazioni il cui core business comporta il monitoraggio sistematico e su larga scala delle persone, e quelle che trattano su larga scala categorie particolari di dati (salute, dati biometrici, condanne penali). Fuori da questi casi la nomina è facoltativa, ma per molte PMI italiane resta una scelta intelligente. In questo articolo vediamo nel dettaglio chi è obbligato, cosa fa concretamente un DPO e quando conviene affidarsi a una figura esterna.

Chi è il Data Protection Officer e cosa fa davvero

Il Data Protection Officer, in italiano Responsabile della Protezione dei Dati (RPD), è una figura introdotta dal GDPR (Regolamento UE 2016/679) agli articoli 37, 38 e 39. Non è un semplice consulente legale né un tecnico informatico: è una figura ibrida, con competenze giuridiche e tecniche, che ha il compito di sorvegliare il rispetto della normativa sulla protezione dei dati all’interno dell’organizzazione.

In pratica, il DPO è il punto di riferimento sia per l’azienda sia per il Garante per la protezione dei dati personali e per gli interessati (clienti, dipendenti, utenti). Tradotto in attività quotidiane, il DPO informa e fornisce consulenza al titolare del trattamento, verifica che i processi aziendali siano conformi, supporta la valutazione d’impatto sulla protezione dei dati (DPIA) e funge da interlocutore in caso di controlli o richieste degli utenti.

È importante chiarire un equivoco frequente: il DPO non decide come e perché trattare i dati. Quelle decisioni restano in capo al titolare del trattamento. Il DPO controlla, consiglia, segnala e sorveglia, ma non sostituisce la responsabilità dell’azienda. Per questo deve operare in modo indipendente, senza ricevere istruzioni su come svolgere il proprio compito.

Quando la nomina del DPO è obbligatoria

L’articolo 37 del GDPR individua tre situazioni in cui la nomina del DPO non è una scelta ma un obbligo di legge. Se la tua organizzazione rientra anche in uno solo di questi casi, devi designare un Responsabile della Protezione dei Dati. Vediamoli uno per uno.

1. Autorità pubbliche e organismi pubblici

La nomina è sempre obbligatoria quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, a eccezione delle autorità giurisdizionali quando esercitano le loro funzioni giudiziarie. Rientrano in questa categoria comuni, regioni, scuole, università, aziende sanitarie, enti previdenziali e, in generale, tutta la pubblica amministrazione. Per questi soggetti non si discute: il DPO va nominato a prescindere dal volume di dati trattati.

2. Monitoraggio regolare e sistematico su larga scala

L’obbligo scatta quando le attività principali dell’azienda consistono in trattamenti che, per la loro natura, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala. La parola chiave è “attività principali”: deve trattarsi del core business, non di un trattamento marginale come la gestione delle buste paga dei dipendenti.

Esempi concreti: società di telecomunicazioni, piattaforme che fanno profilazione comportamentale degli utenti, servizi di pubblicità online basata sul tracciamento, app di geolocalizzazione, sistemi di videosorveglianza estesa, fidelity card con profilazione degli acquisti. Se il tuo modello di business si regge sul tracciare in modo continuativo il comportamento di molte persone, sei dentro l’obbligo.

3. Trattamento su larga scala di categorie particolari di dati

Il terzo caso riguarda le organizzazioni che, come attività principale, trattano su larga scala le cosiddette categorie particolari di dati (ex dati sensibili: salute, origine etnica, opinioni politiche, convinzioni religiose, dati genetici e biometrici, orientamento sessuale) oppure dati relativi a condanne penali e reati.

Qui rientrano tipicamente ospedali e cliniche private, laboratori di analisi, case di cura, RSA, ma anche realtà più piccole il cui cuore dell’attività è il trattamento di dati sanitari su volumi rilevanti. Il singolo medico di base che gestisce i propri pazienti, invece, di norma non rientra nell’obbligo perché manca il requisito della “larga scala”.

E le PMI? Chi sì e chi no

La domanda che ricevono più spesso le piccole e medie imprese è: “il DPO è obbligatorio anche per noi?”. La risposta onesta è: dipende da cosa fai con i dati, non dal numero di dipendenti. Il GDPR non fissa soglie automatiche legate al fatturato o al numero di addetti. Conta la natura, la portata e le finalità del trattamento.

Per essere concreti, ecco alcuni esempi di PMI tipiche.

• Probabilmente NON obbligate: una piccola agenzia immobiliare, un’officina meccanica, un negozio di abbigliamento con e-commerce di base, uno studio di commercialisti che gestisce i dati ordinari dei clienti, un’azienda manifatturiera che tratta solo i dati dei propri dipendenti e fornitori.
• Probabilmente obbligate: una clinica odontoiatrica o un poliambulatorio con molti pazienti, una società di marketing che fa profilazione massiva, un’azienda che gestisce sistemi di videosorveglianza per conto terzi su larga scala, una piattaforma SaaS che traccia in modo sistematico il comportamento degli utenti.

Attenzione a una zona grigia frequente: molte PMI svolgono trattamenti “di confine” e non sanno collocarsi. In questi casi la cosa migliore è fare una valutazione caso per caso, documentandola. Anche quando l’obbligo non scatta, nominare comunque un DPO (o un referente privacy) è spesso una scelta di buon senso, perché alza il livello di protezione e riduce il rischio di errori costosi. Se hai dubbi sulla tua posizione, il nostro servizio di adeguamento al GDPR parte proprio da qui: capire se sei obbligato e cosa devi fare.

DPO interno o esterno? Cosa conviene a una PMI

Una volta stabilito che ti serve un DPO, la scelta successiva è tra una figura interna e una esterna. Il GDPR consente entrambe le soluzioni: il DPO può essere un dipendente dell’azienda oppure un professionista esterno che svolge l’incarico sulla base di un contratto di servizi. Vediamo il confronto senza giri di parole.

Il DPO interno conosce profondamente l’organizzazione, è sempre presente e reattivo, ma richiede una persona con competenze giuridiche e tecniche specifiche che difficilmente una PMI ha già in organico. Formarla o assumerla costa, e c’è il rischio concreto del conflitto di interessi: chi già decide sui trattamenti (un IT manager, un responsabile HR, il titolare stesso) non può controllare sé stesso.

Il DPO esterno è quasi sempre la scelta più sensata per una piccola o media impresa. Porta competenze già mature, esperienza maturata su più aziende, una posizione naturalmente indipendente e un costo molto più contenuto rispetto a un’assunzione. Lo svantaggio è che, essendo esterno, va messo nelle condizioni di conoscere bene i processi aziendali: serve una collaborazione strutturata, non un nome su un contratto lasciato nel cassetto.

Sul fronte dei costi indicativi, in Italia un DPO esterno per una PMI si colloca tipicamente in un canone annuale che va da circa 1.500 a 6.000 euro, a seconda della complessità dei trattamenti, del numero di sedi e del livello di rischio. Realtà sanitarie o con trattamenti particolarmente delicati possono superare questa fascia. Sono cifre molto inferiori al costo di un dipendente dedicato e, soprattutto, infinitamente più basse di una sanzione per non conformità.

La nostra raccomandazione pratica: se sei una PMI e ti serve il DPO, parti dall’esterno. Avrai subito una figura competente e indipendente, senza dover costruire internamente un know-how che richiede anni. L’importante è scegliere un partner che entri davvero nei tuoi processi e non si limiti a un adempimento formale.

Le responsabilità del DPO

L’articolo 39 del GDPR elenca i compiti minimi del DPO. Nella pratica quotidiana, le responsabilità principali sono queste.

• Informare e consigliare il titolare, il responsabile del trattamento e i dipendenti sugli obblighi previsti dal GDPR e dalle altre norme sulla protezione dei dati.
• Sorvegliare l’osservanza del Regolamento, comprese l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale.
• Fornire pareri sulla valutazione d’impatto sulla protezione dei dati (DPIA) e sorvegliarne lo svolgimento.
• Cooperare con il Garante per la protezione dei dati personali, fungendo da punto di contatto.
• Gestire le richieste degli interessati, supportando l’azienda nelle risposte a chi esercita i propri diritti (accesso, cancellazione, portabilità).
• Supportare la gestione dei data breach, aiutando a valutare e notificare eventuali violazioni dei dati nei tempi previsti.

Un buon DPO non si limita a vigilare: aiuta concretamente a impostare processi corretti, ad esempio nel modo in cui vengono raccolti i consensi e gestiti i moduli online. Su questo tema abbiamo approfondito cosa devono sapere le aziende nella guida alla raccolta dati online.

I requisiti: chi può fare il DPO

Il GDPR non richiede un’abilitazione o un albo specifico per fare il DPO, ma fissa requisiti precisi che la figura deve possedere. Sceglierla con leggerezza è uno degli errori più comuni e più rischiosi.

Competenze adeguate. Il DPO deve essere designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, oltre alla capacità di assolvere i propri compiti. Servono quindi competenze giuridiche unite a una buona comprensione dei processi e delle tecnologie IT.

Indipendenza. Il DPO non deve ricevere istruzioni su come svolgere il proprio incarico e non può essere rimosso o penalizzato per aver svolto correttamente i suoi compiti. Deve riferire direttamente al vertice dell’organizzazione e disporre delle risorse necessarie per operare.

Assenza di conflitto di interessi. Questo è il punto più delicato. Il DPO non può ricoprire un ruolo che lo porti a determinare le finalità e i mezzi del trattamento. In concreto, non possono fare il DPO l’amministratore delegato, il responsabile IT, il responsabile marketing o il responsabile HR, perché controllerebbero decisioni prese da loro stessi. Anche il titolare dell’azienda non può nominarsi DPO. È una delle ragioni per cui, nelle PMI, la soluzione esterna risulta spesso la più pulita.

Cosa rischi senza DPO quando è obbligatorio

La mancata nomina del DPO quando è obbligatoria è una violazione del GDPR a tutti gli effetti, e le sanzioni non sono simboliche. Il Regolamento prevede per questo tipo di inadempimento sanzioni amministrative fino a 10 milioni di euro o al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore.

Va detto che, nella pratica, il Garante valuta la gravità complessiva: la mancata nomina raramente viene sanzionata da sola al massimo edittale, ma diventa un aggravante quando emerge in occasione di un controllo, di un data breach o di un reclamo. In altre parole, l’assenza del DPO è spesso il primo campanello che fa scattare un’ispezione più ampia, durante la quale vengono alla luce altre non conformità.

Oltre alle sanzioni economiche, c’è il danno reputazionale e il rischio di richieste di risarcimento da parte degli interessati. Per capire l’ordine di grandezza delle sanzioni GDPR e come prevenirle, abbiamo dedicato un approfondimento specifico su come evitare le sanzioni per la non conformità al GDPR. La logica è semplice: il costo della conformità è sempre inferiore al costo della non conformità.

Domande frequenti sul DPO

Il DPO è obbligatorio per le piccole imprese?

Non automaticamente. Il GDPR non lega l’obbligo al numero di dipendenti o al fatturato, ma alla natura dei trattamenti. Una piccola impresa che fa profilazione su larga scala o tratta dati sanitari in modo rilevante è obbligata; una piccola impresa con trattamenti ordinari (clienti, fornitori, dipendenti) di norma no. La valutazione va fatta caso per caso e va documentata.

Quanto costa un DPO esterno?

Per una PMI, il canone annuale di un DPO esterno si colloca indicativamente tra 1.500 e 6.000 euro, in funzione della complessità dei trattamenti, del numero di sedi e del livello di rischio. Le realtà sanitarie o con dati particolarmente delicati possono superare questa fascia. Resta comunque una spesa molto inferiore rispetto all’assunzione di una figura interna dedicata.

Il DPO può essere un dipendente?

Sì, il GDPR consente che il DPO sia un dipendente interno, purché abbia le competenze necessarie, operi in piena indipendenza e non si trovi in conflitto di interessi. Questo esclude figure come l’amministratore delegato, il responsabile IT, marketing o HR. Per molte PMI trovare un dipendente che rispetti tutti questi requisiti è difficile, ed è il motivo per cui la soluzione esterna è così diffusa.

Qual è la differenza tra DPO e responsabile del trattamento?

Sono due ruoli completamente diversi. Il responsabile del trattamento (data processor) è il soggetto che tratta i dati per conto del titolare, ad esempio un fornitore di servizi cloud o un’agenzia che gestisce campagne marketing. Il DPO, invece, è una figura di sorveglianza e consulenza, indipendente, che vigila sul rispetto della normativa. Il responsabile del trattamento “esegue”, il DPO “controlla e consiglia”.

Il DPO va comunicato al Garante?

Sì. Una volta nominato, i dati di contatto del DPO vanno pubblicati (ad esempio sul sito web aziendale) e comunicati al Garante per la protezione dei dati personali tramite l’apposita procedura online. È un passaggio formale ma obbligatorio: averlo nominato senza comunicarlo non basta.

Hai dubbi sul DPO nella tua azienda? Parliamone

Capire se sei obbligato a nominare un DPO, scegliere tra interno ed esterno e impostare un percorso di conformità realmente efficace richiede una valutazione su misura, non un modello copiato da internet. In Swebby affianchiamo le PMI italiane in tutto il percorso di adeguamento al GDPR, dalla mappatura dei trattamenti fino al supporto continuativo come DPO esterno. Puoi vedere nel dettaglio come supportiamo le aziende nell’adeguamento al GDPR e, quando vuoi, richiedere un preventivo senza impegno. Partiamo da una domanda semplice: cosa fai davvero con i dati? Da lì costruiamo la soluzione giusta per te.

Articolo aggiornato a giugno 2026 con la sezione sul DPO esterno e la guida ai casi di obbligatorietà.