Il Data Protection Officer è la figura introdotta dal GDPR che assume il duplice ruolo di informare e fornire consulenza al titolare del trattamento, e sorvegliare l’osservanza della normativa in materia di protezione dei dati personali.

Il DPO dovrebbe essere coinvolto in tutte le questioni riguardanti la protezione dei dati personali – a prescindere dal dipartimento o contesto aziendale.

Il GDPR dispone che il DPO non riceva alcuna istruzione per lo svolgimento del suo incarico e che riferisce direttamente al vertice gerarchico dell’organizzazione.

Indipendenza e imparzialità sono requisiti fondamentali per svolgere l’incarico di DPO efficacemente.


Molte organizzazioni si trovano in difficoltà quando devono scegliere chi designare come Data Protection Officer.

Quando si sceglie di incaricare un DPO interno, la scelta solitamente ricade su tre tipologie di persone:

manager che gestisce i processi qualità

legale che gestisce la compliance

tecnico che gestisce i sistemi informativi aziendali

Ognuna di queste scelte, per quanto plausibili, comporta dei problemi.


I problemi del DPO interno

Data la peculiarità della posizione, incaricare una persona interna come DPO potrebbe comportare diversi problemi:

mancanza di indipendenza e impazialità: nessun dipendente, anche di livello manageriale, sarà mai pienamente indipendente e imparziale.

mancanza di competenze specifiche: la protezione dei dati personali è una materia estremamente complessa e dinamica, che richiede costante formazione di alto livello.

mancanza di competenze trasversali: essere DPO significa essere in grado di affrontare tematiche estremamente diverse tra loro, che spaziano dal marketing, al legal, fino ad arrivare al procurement e alla sicurezza dei sistemi informativi.

mancanza di tempo: un dipendente che assume anche l’incarico di DPO non riuscirà mai a dedicare abbastanza tempo e risorse ad entrambi i ruoli.


Un DPO esterno sarà in grado di valutare con indipendenza e imparzialità ogni questione relativa alla protezione dei dati personali, a prescindere dal settore di competenza e dalle implicazioni.

Ma incaricare un DPO esterno significa soprattutto scegliere persone specializzate e competenti in protezione dei dati personali.

DPO esterno: chi scegliere?

Recenti orientamenti giurisprudenziali confermano che il ruolo di DPO è prevalentemente giuridico.

Ciò significa che un DPO deve prima di tutto conoscere e saper applicare la normativa, i provvedimenti, le linee guida e le sentenze in materia di protezione dei dati personali.

Non basta. Il DPO deve anche essere in grado di valutare i rischi posti dal trattamento di dati personali, e questo significa avere conoscenza di questioni che riguardano la sicurezza dei dati.

Il DPO deve anche saper affrontare le sfide quotidiane di una realtà aziendale: processi e politiche interne, procedure, necessità di business.

Il DPO ideale, dovrebbe quindi incarnare le competenze di un giurista, le conoscenze di un esperto di sicurezza delle informazioni e le capacità di un manager.

Per questo motivo è preferibile incaricare una società di consulenza specializzata, piuttosto che uno studio legale, una società di sicurezza, o un libero professionista.

Il DPO fa paura?

Molte realtà scelgono di designare un DPO interno per paura del giudizio di persone esterne, o peggio ancora per paura che un DPO esterno possa bloccare o ingessare l’azienda.

Beh, non è così. Il DPO non è uno sceriffo!

Il bravo DPO è un business partner che lavora insieme all’azienda per migliorare i processi interni e i servizi offerti, assicurando il rispetto della normativa.

Un DPO che danneggia il business invece di trovare soluzioni, non è un buon DPO.