Privacy GDPR: errori sul DPO costano caro

Sanzioni in crescita: imprese e PA sottovalutano ancora la figura del DPO

Nel 2025 le sanzioni per violazioni del GDPR sono tutt’altro che in calo. Al contrario, i recenti provvedimenti del Garante Privacy evidenziano una tendenza preoccupante: la figura del DPO (Data Protection Officer) continua ad essere mal interpretata, ignorata o gestita con superficialità. Questo accade non solo nelle aziende private, ma anche nella pubblica amministrazione.

Cosa succede se non si nomina correttamente il DPO?

Si rischiano sanzioni gravi e ripercussioni sull’intera struttura organizzativa. È il caso dell’ordinanza n. 802 del 19 dicembre 2024, dove un’azienda è stata multata di 70.000 euro per due errori: non aver comunicato i dati del DPO al Garante e aver nominato come DPO il legale rappresentante stesso, generando un chiaro conflitto di interessi.

Dopo più di 8 anni dall’entrata in vigore del Regolamento Europeo 2016/679 (GDPR), è allarmante constatare come errori basilari siano ancora all’ordine del giorno. L’obbligo di designazione del DPO non è facoltativo: è previsto espressamente all’art. 37 del GDPR per enti pubblici e soggetti privati che trattano dati sensibili su larga scala o effettuano monitoraggi sistematici.

Serve davvero un professionista qualificato per fare il DPO?

Sì, assolutamente. Il DPO non è una figura meramente formale, né un ruolo che si può improvvisare. Deve essere un professionista dotato di competenze giuridiche, tecniche e organizzative, con conoscenza approfondita della protezione dei dati personali. Come stabilito dallo stesso GDPR al considerando 97, il DPO deve agire in modo indipendente, senza subire influenze da parte del titolare o del responsabile del trattamento.

Designare un DPO senza verificarne le competenze è un errore che può costare caro, sia in termini economici che di reputazione. E, ancora peggio, è spesso accompagnato da mancate comunicazioni al Garante Privacy, omissioni che aggravano la posizione dell’organizzazione in caso di ispezione o segnalazione.

Quante aziende e enti pubblici sono stati già sanzionati?

Molti, e il numero è in crescita. Un esempio tra i tanti: il provvedimento n. 174 del 12 maggio 2022, in cui un Comune è stato sanzionato per non aver nominato tempestivamente un DPO, per conflitto d’interessi, e per non aver comunicato né pubblicato i dati del Responsabile della protezione dei dati.

Altri casi frequenti includono la mancata comunicazione della variazione del DPO, l’uso di indirizzi email istituzionali generici per contattare il DPO (anziché caselle dedicate e riconducibili al responsabile), oppure l’omessa pubblicazione dei dati di contatto sul sito dell’ente. In uno dei casi più recenti (provvedimento n. 6 dell’11 gennaio 2024), un Comune ha subito una sanzione per non aver mai comunicato al Garante i dati di due DPO nominati in anni differenti.

Le sanzioni si possono evitare?

Sì, con un approccio professionale e sistemico alla protezione dei dati. Serve una valutazione accurata del ruolo, dei compiti e delle competenze del DPO. Questo significa evitare nomine frettolose o di comodo, e dotarsi di un referente che sappia dialogare efficacemente sia con il management interno che con l’Autorità Garante.

Anche la parte procedurale è essenziale: la comunicazione formale dei dati del DPO, la creazione di una casella email dedicata, e la corretta pubblicazione online delle informazioni di contatto sono passaggi obbligatori. Non basta nominare un DPO: bisogna renderlo operativo nel rispetto del GDPR.

Quali errori non devono più essere commessi?

Non si può più ignorare il ruolo del DPO, né ridurlo a una formalità. Le aziende e gli enti pubblici devono comprendere che il DPO è il punto di raccordo tra l’organizzazione e il Garante Privacy, oltre che una figura strategica per la compliance interna. Evitare conflitti di interesse, assicurarsi della sua indipendenza, formarlo adeguatamente e comunicarne correttamente i dati sono obblighi imprescindibili.

Il messaggio del Garante è chiaro: le violazioni sul DPO non saranno più tollerate. E se da un lato è prevista la possibilità di ridurre le sanzioni attraverso il pagamento in misura ridotta, dall’altro resta evidente che prevenire è meglio che pagare, e che affidarsi a un esperto in materia privacy è la scelta più sicura.

E per quanto riguarda invece la privacy all’interno delle parti comuni?
Scarica il nostro manuale gratuito per essere conforme alla normativa privacy nell’ambito del condominio.
Clicca sul seguente link: https://www.tutelacondomini.it/nuove-linee-guida-privacy-in-condominio/

Avv.Raffaele Marascio
Avv.Raffaele Marascio
“Avvocato già iscritto all’Albo presso l’Ordine degli Avvocati di Torino. Laureato in Giurisprudenza presso l’Università degli studi di Torino con tesi in materia di Big Data e rispetto del Regolamento Europeo per la protezione dei dati personali (GDPR). Specializzato in diritto della privacy, diritto penale e responsabilità civile”.

articoli correlati

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui

SEGUICI SU

1,622FansMi piace
2,221FollowerSegui
 

potrebbero interessarti