Del Dott. Enrico Ferrante – Data Protection Officer
La digitalizzazione crescente dei servizi pubblici e la gestione sempre più massiva di dati personali dei cittadini hanno reso il Data Protection Officer (DPO) una figura centrale nel panorama delle Pubbliche Amministrazioni italiane. Introdotto dal Regolamento UE 2016/679 (GDPR) e disciplinato dagli articoli 37, 38 e 39, il DPO rappresenta il punto di equilibrio tra l’esigenza di innovazione digitale degli enti pubblici e la tutela dei diritti fondamentali dei cittadini.

L’obbligatorietà della nomina nella PA: un adempimento non negoziabile

A differenza del settore privato, dove la designazione del DPO è obbligatoria solo in specifiche circostanze, per le Pubbliche Amministrazioni l’obbligo è assoluto e inderogabile. Infatti, l’articolo 37 del GDPR stabilisce chiaramente che tutte le autorità pubbliche e gli organismi pubblici devono nominare un DPO, ad eccezione delle autorità giurisdizionali nell’esercizio delle loro funzioni. Questo obbligo riguarda amministrazioni statali, Regioni, enti locali, università, Camere di commercio, aziende del Servizio Sanitario Nazionale e autorità indipendenti.

La ratio di questa previsione normativa è evidente: gli enti pubblici trattano quotidianamente enormi quantità di dati personali dei cittadini, spesso di natura sensibile, e devono garantire il rispetto dei principi di liceità, trasparenza, minimizzazione e sicurezza. Il DPO è diventato, così, il garante operativo di questi principi, fungendo da ponte tra l’amministrazione, gli interessati e l’Autorità Garante per la Protezione dei Dati Personali.

Il ruolo strategico del DPO: consulenza, vigilanza e mediazione

Le funzioni del DPO nelle Pubbliche Amministrazioni vanno ben oltre il mero adempimento formale. Si tratta di una figura professionale che deve avere competenze trasversali, nonchè possedere solide conoscenze tecniche, informatiche e soprattutto giuridiche. Il suo mandato, infatti, comprende tre dimensioni fondamentali: quella consultiva, quella di vigilanza e quella di mediazione.

In particolare, sul versante consultivo, il DPO informa e fornisce pareri al titolare del trattamento su tutti gli aspetti relativi alla protezione dei dati, partecipa alla redazione delle valutazioni d’impatto (DPIA), quando necessario, e promuove la formazione continua del personale. Come “organo di vigilanza”, invece, controlla l’osservanza del GDPR e delle normative nazionali, verificando che i procedimenti amministrativi siano conformi alle disposizioni sulla privacy. Infine, nella sua funzione di mediazione, costituisce il punto di contatto privilegiato per gli interessati che vogliano esercitare i propri diritti e per il Garante Privacy nelle sue attività di controllo.

Un aspetto cruciale è la posizione di indipendenza e di autonomia che il DPO deve mantenere: non può ricevere istruzioni che orientino le sue decisioni e non deve trovarsi in situazioni di conflitto di interessi. Questa indipendenza è garanzia di imparzialità e requisito essenziale per l’efficacia del suo operato.

DPO interno o esterno: vantaggi, criticità e scelte strategiche

La scelta tra la nomina di un DPO interno e uno esterno rappresenta un passaggio delicato per ogni Pubblica Amministrazione. Nel primo caso, la normativa suggerisce che sia preferibile conferire l’incarico a un dirigente o a un funzionario di alta professionalità, capace di operare in autonomia e in collaborazione diretta con il vertice dell’organizzazione. Tuttavia, questa opzione presenta rischi significativi legati ai conflitti di interesse: segretari comunali, direttori amministrativi o dirigenti con potere decisionale non possono essere nominati DPO, poiché controllore e controllato non possono coincidere.

Diversamente, la nomina di un DPO esterno, consente di superare le citate criticità. Il professionista esterno opera sulla base di un contratto di servizi e può avvalersi di un team di supporto, garantendo maggiore flessibilità e specializzazione. Tuttavia, il Garante Privacy ha evidenziato, in diversi documenti di indirizzo, alcune problematiche ricorrenti: vi sono DPO esterni con numeri eccessivi di incarichi (in alcuni casi oltre 200 enti), compensi inadeguati che oscillano tra i 300 e i 1.000 euro annui, e durate contrattuali insufficienti.

Nello specifico, su quest’ultimo punto il Garante è stato esplicito: la durata congrua dell’incarico deve essere di almeno tre anni, periodo minimo necessario per conoscere adeguatamente l’organizzazione dell’ente e implementare un piano di adeguamento completo al GDPR. Incarichi più brevi compromettono l’efficacia del ruolo e riducono il DPO a mero adempimento formale.

Responsabilità, sanzioni e la via verso una cultura della protezione dei dati

È fondamentale chiarire che il DPO non risponde personalmente delle violazioni della normativa privacy: infatti, la responsabilità ricade sempre sul titolare del trattamento, ossia sull’ente pubblico. In tale contesto, appare utile evidenziare che le sanzioni per violazioni degli articoli 37, 38 e 39 del GDPR possono raggiungere i 2 milioni di euro per le amministrazioni pubbliche, mentre le sanzioni generali per violazioni sostanziali del regolamento possono arrivare fino a 20 milioni di euro. A questi aspetti sanzionatori si aggiunge la responsabilità civile verso gli interessati che subiscano danni materiali o immateriali, nonché la responsabilità erariale nei confronti della Pubblica Amministrazione quando la mancata adozione di misure adeguate generi risarcimenti.

Dunque, la sfida per le Pubbliche Amministrazioni è duplice: da un lato, superare la logica dell’adempimento formale e riconoscere nel DPO una risorsa strategica per la governance dei dati; dall’altro, garantire risorse umane ed economiche adeguate, evitando la prassi di scegliere il professionista sulla base del solo criterio del prezzo più basso nelle gare pubbliche. Il coinvolgimento attivo del DPO nelle decisioni strategiche dell’ente, con incontri periodici (almeno annuali secondo le indicazioni del Garante) e accesso diretto al vertice amministrativo, è condizione imprescindibile per una protezione efficace dei dati personali.

Ed è proprio nell’epoca in cui i fondi del PNRR spingono verso la digitalizzazione e l’innovazione tecnologica della PA, il ruolo del DPO assume una valenza ancora più strategica: accompagnare la trasformazione digitale garantendo, al contempo, che i diritti dei cittadini siano al centro di ogni processo. Solo così la figura del Data Protection Officer potrà esprimere tutto il suo potenziale, trasformandosi da obbligo normativo a vero pilastro della modernizzazione responsabile delle nostre amministrazioni pubbliche.