Quando è obbligatorio nominare il DPO: la guida 2026 per imprese e Pubbliche Amministrazioni
Quando l'art. 37 GDPR impone il DPO, chi può ricoprirlo, quali sono i costi orientativi 2026 e come si effettua la nomina presso il Garante. Guida pratica per imprese e PA.
In sintesi — L’obbligo di nominare il DPO (Data Protection Officer, o RPD – Responsabile della Protezione dei Dati) scatta in tre casi tassativi previsti dall’art. 37 del Regolamento UE 2016/679 (GDPR): quando il titolare è un’autorità o organismo pubblico; quando le attività principali richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; quando le attività principali consistono nel trattamento su larga scala di categorie particolari di dati (sanitari, biometrici, genetici, giudiziari). Fuori da questi tre casi, la nomina è facoltativa ma raccomandata dal Garante. La mancata designazione espone a sanzioni fino al 2% del fatturato mondiale annuo o a 10 milioni di euro.
1. Cos’è il DPO e perché la nomina è sempre più frequente
Il DPO — Data Protection Officer, in italiano Responsabile della Protezione dei Dati (RPD) — è la figura introdotta dagli artt. 37-39 del Regolamento UE 2016/679 con il compito di sorvegliare il rispetto della normativa sulla protezione dei dati all’interno dell’organizzazione che lo nomina. Non decide le finalità del trattamento — questo rimane in capo al titolare — ma verifica che le decisioni del titolare siano conformi al GDPR, forma il personale, gestisce il rapporto con il Garante e conduce audit interni.
La sua nomina non è una novità del 2026, ma il tema torna ciclicamente alla ribalta per due ragioni concrete. La prima è l’intensificazione dell’attività sanzionatoria del Garante: nel solo 2024 i provvedimenti che contestavano la mancata designazione o la comunicazione tardiva dei dati di contatto del DPO sono stati numerosi, e hanno riguardato tanto Comuni di piccole dimensioni quanto Ministeri. La seconda è la sovrapposizione crescente tra obblighi GDPR e obblighi NIS2 (d.lgs. 138/2024), che spinge molte organizzazioni nei settori regolati a valutare la nomina anche quando non strettamente imposta dall’art. 37.
| Soggetto | DPO obbligatorio? | Base normativa |
|---|---|---|
| Comune, Regione, ASL, Università pubblica | Sì | Art. 37, par. 1, lett. a) GDPR |
| Ospedale privato, clinica con trattamento dati sanitari su larga scala | Sì | Art. 37, par. 1, lett. c) GDPR |
| Società di call center, istituto di credito, compagnia assicurativa | Sì (di norma) | Art. 37, par. 1, lett. b) GDPR |
| PMI manifatturiera senza trattamenti sistematici | No (salvo valutazione) | — |
| Studio professionale singolo | No | — |
| Azienda nel settore utilities o trasporti pubblici | Sì (raccomandato WP29) | Linee guida WP29/EDPB |
2. I tre casi in cui il DPO è obbligatorio: art. 37 GDPR
2.1 Autorità e organismi pubblici
Tutte le autorità pubbliche e gli organismi pubblici sono tenuti a nominare un DPO, indipendentemente dalla quantità o dalla tipologia di dati trattati. Il GDPR non definisce “autorità pubblica” o “organismo pubblico”: il WP29 (oggi EDPB) nelle proprie linee guida rinvia al diritto nazionale, precisando che l’obbligo si estende anche ai soggetti privati che esercitano pubblici poteri o svolgono funzioni di interesse pubblico — trasporti pubblici, distribuzione di energia elettrica o acqua, gestione di servizi sociali in convenzione. La nozione di “organismo di diritto pubblico” rilevante ai fini privacy è coerente con quella elaborata in materia di appalti, su cui si può vedere il nostro approfondimento dedicato al requisito teleologico dell’organismo di diritto pubblico.
In Italia, l’obbligo copre Comuni, Province, Regioni, Ministeri, ASL, ospedali pubblici, scuole di ogni ordine e grado, università, camere di commercio, ordini professionali, enti previdenziali. Non si applica alle autorità giurisdizionali nell’esercizio delle loro funzioni precipue.
Il Garante ha sanzionato Comuni per la mancata designazione con provvedimenti datati gennaio 2025 e novembre 2024, ingiungendo la nomina, la pubblicazione dei contatti del DPO sul sito e la comunicazione al Garante tramite il canale telematico dedicato. Nessuno dei casi riguardava trattamenti particolarmente sensibili: il fatto di essere un ente pubblico era da solo sufficiente a far scattare l’obbligo.
2.2 Monitoraggio regolare e sistematico su larga scala
Il secondo caso riguarda i soggetti privati le cui attività principali consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala. Tre elementi vanno verificati insieme.
Attività principale non significa ogni trattamento svolto dall’organizzazione, ma il trattamento che è parte integrante del core business. Una società di recupero crediti che costruisce profili di solvibilità, un provider di telecomunicazioni che analizza i pattern di traffico, una compagnia assicurativa che calcola premi su base comportamentale: in questi casi il trattamento non è accessorio alla prestazione, è la prestazione.
Monitoraggio regolare e sistematico comprende, secondo le linee guida EDPB, profilazione e behavioral advertising, monitoraggio della posizione tramite app, programmi fedeltà che tracciano gli acquisti nel tempo, sistemi di videosorveglianza continuativa (sul punto rinviamo al nostro contributo su videosorveglianza e informativa privacy), IoT e wearable devices, telemedicina.
Larga scala non ha una soglia numerica fissa. Il WP29 individua quattro indicatori: numero elevato di interessati (in termini assoluti o in proporzione alla popolazione), volume o varietà dei dati, durata o continuità del trattamento, estensione geografica. Un singolo medico che tratta i dati dei propri pazienti non raggiunge la larga scala; un’ASL o un gruppo ospedaliero privato con più strutture sì.
2.3 Trattamento su larga scala di categorie particolari di dati
Il terzo caso si attiva quando le attività principali consistono nel trattamento su larga scala di:
- dati sanitari, genetici o biometrici (art. 9 GDPR);
- dati relativi a condanne penali e reati (art. 10 GDPR).
Rientrano in questa ipotesi le cliniche private di una certa dimensione, i laboratori di analisi, le strutture riabilitative, le agenzie di somministrazione lavoro che gestiscono fascicoli con dati di salute o giudiziari, le società di sicurezza e vigilanza che trattano dati biometrici.
Nota operativa. Il Garante, nelle proprie FAQ, ha individuato a titolo esemplificativo alcune categorie di soggetti obbligati: istituti di credito, imprese assicurative, sistemi di informazione creditizia, CAF e patronati, società di call center, ospedali privati, laboratori di analisi mediche, società di somministrazione lavoro, hosting provider e imprese di informatica che monitorano misure di sicurezza per conto terzi. L’elenco non è tassativo.
3. Quando conviene nominarlo anche senza obbligo
Il Garante raccomanda la nomina volontaria del DPO anche fuori dai tre casi obbligatori, invocando il principio di accountability sancito dall’art. 5, par. 2 GDPR. La raccomandazione non è una cortesia: è la traduzione pratica dell’obbligo di dimostrare la conformità, non solo di realizzarla.
Alcune situazioni in cui la nomina volontaria è una scelta razionale:
- PMI con un e-commerce attivo che raccoglie abitudini di acquisto e dati di pagamento di un numero rilevante di clienti nel tempo;
- aziende manifatturiere che hanno introdotto sistemi di controllo accessi biometrici o badge RFID per i dipendenti;
- studi associati o reti professionali che gestiscono fascicoli con dati sanitari o giudiziari per più di qualche decina di clienti ricorrenti;
- organizzazioni che operano nei settori coperti da NIS2 e che, per la gestione degli incidenti di sicurezza, trattano dati personali in modo strutturato;
- aziende che intendono partecipare ad appalti pubblici in cui la stazione appaltante richiede garanzie in materia di protezione dei dati.
Il WP29 raccomanda in ogni caso di documentare la valutazione compiuta: se si conclude che non c’è obbligo, il ragionamento va scritto e conservato. Un’organizzazione che non ha nominato il DPO ma non sa spiegare perché è più vulnerabile in un’ispezione di una che ha analizzato la propria situazione e ha deciso consapevolmente di non procedere.
4. DPO interno o esterno: tre differenze pratiche
Indipendenza funzionale. L’art. 38, par. 3 GDPR stabilisce che il DPO non riceve istruzioni riguardo all’esercizio dei propri compiti. Non significa che non risponda a nessuno — risponde al vertice dell’organizzazione — ma significa che non può essere rimosso o penalizzato per aver segnalato una non conformità. Un dipendente che ricopre anche il ruolo di DPO vive questa tensione in modo molto più acuto di un professionista esterno, che non ha un rapporto di lavoro subordinato con il titolare.
Conflitto di interessi. L’art. 38, par. 6 GDPR vieta che il DPO ricopra compiti che determinino le finalità e i mezzi del trattamento. Non può essere, nella stessa organizzazione, responsabile IT, responsabile delle risorse umane, direttore generale, responsabile marketing o legale con delega decisionale sui dati. Un DPO interno nominato nella persona del responsabile IT è una nomina viziata — e il Garante lo ha contestato in più provvedimenti. Un DPO esterno, per struttura, non può avere conflitti di questo tipo.
Costo e flessibilità. Un DPO interno di profilo adeguato è un professionista con competenze giuridiche e informatiche aggiornate: il costo di un dirigente o funzionario con questo profilo, se esiste nell’organizzazione, non è il costo del DPO ma il costo di chi già fa altro. Un DPO esterno, secondo i range di mercato 2025, costa tra 300 e 700 euro al mese per un’organizzazione con trattamenti semplici; tra 800 e 1.500 euro per una struttura media con gestione di richieste degli interessati e DPIA; oltre i 1.800 euro mensili in settori ad alto rischio (sanità, finanza, trattamenti biometrici). La gap analysis iniziale — necessaria per avviare correttamente il mandato — è di solito quotata tra 1.500 e 4.000 euro una tantum.
5. Requisiti e incompatibilità: chi non può fare il DPO
L’art. 37, par. 5 GDPR richiede che il DPO sia designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i propri compiti. Non prescrive titoli di studio né certificazioni specifiche, ma il Garante e le linee guida EDPB sono chiari: competenze giuridiche e competenze tecniche devono coesistere, o il DPO deve sapersi avvalere di supporto qualificato nell’area che non padroneggia.
Chi non può fare il DPO nella stessa organizzazione:
- l’amministratore delegato o il direttore generale (decidono finalità e mezzi);
- il responsabile IT (decide le misure tecniche di sicurezza, che è esattamente ciò che il DPO deve vigilare);
- il responsabile delle risorse umane (gestisce trattamenti rilevanti dei dipendenti);
- il responsabile legale con poteri decisionali sui trattamenti;
- il CFO con accesso e controllo sui database finanziari dei clienti.
La figura del commercialista come DPO — domanda frequente nelle PMI — è tecnicamente possibile se il professionista ha le competenze richieste e non ricopre ruoli decisionali sui trattamenti dell’azienda. In pratica, il commercialista che gestisce anche la contabilità e ha accesso ai dati dei dipendenti si trova in una zona di potenziale conflitto di interessi che il Garante ha contestato. La nomina va valutata caso per caso.
6. Il nesso con NIS2: perché le aziende nei settori regolati devono valutarlo ora
Il d.lgs. 138/2024 — con cui l’Italia ha recepito la Direttiva NIS2 — non impone la nomina di un DPO. Lo fa il GDPR. Ma le due normative si sovrappongono in modo sostanziale per le organizzazioni che rientrano nei settori coperti da NIS2: energia, trasporti, acque, infrastrutture digitali, sanità, pubblica amministrazione, settore bancario e finanziario, spazio.
Per queste organizzazioni, la gestione degli incidenti di sicurezza informatica prevista da NIS2 comporta quasi sempre il trattamento di dati personali. La notifica di un incidente all’ACN, la gestione delle prove forensi, la comunicazione agli utenti colpiti: sono tutte operazioni che implicano trattamento di dati e che richiedono una governance coerente con il GDPR — inclusa la corretta tenuta del registro delle violazioni privacy, su cui il Garante è sempre più puntuale. Il DPO diventa il naturale punto di coordinamento tra le due compliance — e la sua assenza, in un’ispezione congiunta o in una valutazione ACN, è un elemento di debolezza difficile da giustificare.
Nota operativa. Le aziende classificate come soggetti essenziali o importanti ai sensi del d.lgs. 138/2024 che non hanno ancora valutato la nomina del DPO dovrebbero farlo contestualmente alla strutturazione del proprio piano di conformità NIS2, non separatamente.
7. Come si effettua la nomina: atto, comunicazione al Garante, pubblicazione
Atto di nomina. Non esiste un modello obbligatorio, ma il documento deve indicare l’identità del DPO, le sue funzioni, la durata dell’incarico, le risorse messe a disposizione e i canali di contatto interni. Se il DPO è esterno, l’art. 37, par. 6 GDPR richiede che il rapporto sia regolato da un contratto di servizi che rispetti i requisiti di indipendenza previsti dall’art. 38 GDPR.
Comunicazione al Garante. L’art. 37, par. 7 GDPR impone di comunicare i dati di contatto del DPO all’autorità di controllo. In Italia, la comunicazione avviene esclusivamente tramite la procedura telematica disponibile sul portale del Garante (Autenticazione – Comunicazione RPD, gpdp.it), accessibile con SPID, CIE o firma digitale. Qualsiasi altro mezzo — PEC, email, raccomandata — non è ritenuto valido. La procedura è articolata in quattro sezioni (dati del titolare, dati del DPO, modalità di contatto, pubblicazione); al completamento viene generato un file XML da firmare digitalmente e restituire entro 48 ore. La nomina, la variazione e la revoca si gestiscono tutte attraverso lo stesso portale.
Pubblicazione sul sito. I dati di contatto del DPO devono essere pubblicati in modo da consentire agli interessati di raggiungerlo agevolmente. Non è obbligatorio pubblicare il nominativo — è sufficiente un indirizzo email dedicato, indicato nell’informativa privacy o in una pagina apposita. Le linee guida EDPB (WP243) indicano la pubblicazione del nome come buona prassi. Per le pubbliche amministrazioni, la pubblicazione nella sezione “Amministrazione Trasparente” è la soluzione standard.
| Adempimento | Chi | Quando | Strumento |
|---|---|---|---|
| Atto/contratto di nomina | Titolare del trattamento | Prima dell’avvio delle funzioni | Documento interno o contratto di servizi |
| Comunicazione al Garante | Titolare del trattamento | Contestualmente alla nomina | Portale telematico gpdp.it |
| Pubblicazione contatti DPO | Titolare del trattamento | Contestualmente alla nomina | Sito web (informativa o pagina dedicata) |
| Variazione o revoca | Titolare del trattamento | All’occorrenza | Portale telematico gpdp.it |
8. Lo Studio Legale Calzoni come DPO esterno
Lo Studio Legale Calzoni affianca enti pubblici e imprese private nella gestione degli adempimenti in materia di protezione dei dati, con un’esperienza specifica nel settore della pubblica amministrazione e delle aziende operanti in contesti regolati.
Lo studio svolge funzioni di DPO esterno per enti locali, aziende sanitarie e imprese private, garantendo indipendenza funzionale, aggiornamento continuo sulla prassi del Garante e coordinamento con gli altri profili di compliance (NIS2, normativa sugli appalti, trasparenza amministrativa). Il servizio comprende l’audit iniziale sulla situazione esistente, la predisposizione o revisione del registro dei trattamenti, la gestione delle richieste degli interessati, la redazione delle DPIA nei casi previsti e il presidio dei rapporti con l’autorità di controllo.
Per enti e imprese che devono nominare il DPO per la prima volta, o che intendono verificare se la propria struttura attuale sia conforme ai requisiti dell’art. 37 GDPR, lo studio offre una consulenza preliminare di valutazione.
Richiedi una consulenza sulla nomina del DPO
Domande frequenti
Il DPO è obbligatorio per la mia azienda? Dipende da tre fattori: se siete un’autorità o organismo pubblico (obbligo automatico); se le vostre attività principali richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; se le vostre attività principali consistono nel trattamento su larga scala di dati sanitari, biometrici, genetici o giudiziari. Se non ricadete in nessuno dei tre casi previsti dall’art. 37 GDPR, la nomina è facoltativa — ma il Garante raccomanda di documentare la valutazione compiuta.
Posso nominare il commercialista come DPO? Tecnicamente sì, se il commercialista ha le competenze necessarie in materia di protezione dei dati e non ricopre, nella stessa organizzazione, ruoli che determinano finalità e mezzi del trattamento. In pratica, il commercialista che gestisce anche la contabilità e ha accesso ai dati dei dipendenti si trova in una posizione di potenziale conflitto di interessi che il Garante ha contestato. La nomina va valutata caso per caso, tenendo conto dell’effettiva posizione del professionista rispetto ai trattamenti dell’azienda.
Cosa rischio se non nomino il DPO quando è obbligatorio? La mancata nomina viola direttamente l’art. 37 GDPR ed è soggetta a sanzioni amministrative pecuniarie fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Il Garante ha irrogato sanzioni concrete anche per importi ridotti (da 2.000 a 75.000 euro nei casi documentati), con ordini di nomina immediata e pubblicazione dei dati di contatto. Oltre alla sanzione pecuniaria, l’ente riceve un provvedimento correttivo pubblico.
Posso cambiare DPO? Sì. La variazione si effettua tramite lo stesso portale telematico del Garante usato per la nomina originaria. Non esiste un termine minimo di durata dell’incarico imposto dal GDPR, ma il recesso non può essere motivato dall’esercizio delle funzioni del DPO: rimuovere o non rinnovare il contratto al DPO perché ha segnalato non conformità è una violazione dell’art. 38, par. 3 GDPR.
Quanto costa un DPO esterno? I range di mercato 2025 variano in funzione della complessità dei trattamenti: da 300-700 euro al mese per organizzazioni con compliance semplice, a 800-1.500 euro per strutture medie con gestione attiva delle richieste degli interessati e DPIA ricorrenti, fino a oltre 1.800 euro mensili per settori ad alto rischio (sanità, finanza, trattamenti biometrici). A questi importi si aggiunge di solito una quota una tantum per la gap analysis iniziale, compresa tra 1.500 e 4.000 euro.
I contenuti di questa pagina si riferiscono a fattispecie generali e non possono in alcun modo sostituire il contributo di un avvocato. Per ottenere un parere legale in ordine alla questione giuridica che interessa è possibile richiedere una consulenza, oppure fissare un appuntamento. Gli autori declinano ogni responsabilità per errori od omissioni, nonché per un utilizzo improprio o non aggiornato delle presenti informazioni.