Nomina DPO: il Garante Privacy sanziona un Comune per mancata designazione. Scopri perché è obbligatorio e come metterti in regola.
Basta un controllo online per individuare le violazioni
Non serve più un’istruttoria complessa per accertare la mancata nomina del Responsabile della protezione dei dati. Oggi, per il Garante Privacy, basta un controllo online. Se sul sito istituzionale di un ente pubblico non sono presenti i riferimenti del DPO, o se la comunicazione non risulta effettuata tramite la piattaforma ufficiale dell’Autorità, la violazione è automatica.
È quanto emerge dal provvedimento n. 384 del 10 luglio 2025, con cui il Garante ha sanzionato un Comune per non aver designato – né comunicato – il proprio DPO, come previsto dagli articoli 37, par. 1 e 7, del Regolamento (UE) 2016/679. Dopo oltre sette anni dall’entrata in vigore del GDPR, molti enti locali continuano a non adempiere a questo obbligo elementare.
Il provvedimento del Garante e le motivazioni della sanzione
Nel provvedimento, l’Autorità precisa che da una verifica incrociata tra l’elenco pubblico dei DPO e il sito web del Comune non risultava alcun riferimento al Responsabile della protezione dei dati.
Il Comune ha provato a difendersi sostenendo di aver commesso un errore materiale nella comunicazione, indicando come titolare del trattamento la società informatica che gestiva i servizi digitali. Tuttavia, per il Garante, questa imprecisione equivale a un’omissione: la designazione del DPO deve essere chiara, corretta e riferita al titolare del trattamento, non a un fornitore esterno.
Inoltre, l’Autorità aveva già invitato formalmente l’ente a verificare la correttezza degli adempimenti. Poiché l’irregolarità non è stata sanata, è scattata la sanzione per violazione dell’articolo 37, paragrafo 1, del GDPR.
Cosa insegna questo caso agli enti pubblici e alle aziende
Il caso evidenzia un principio fondamentale: la nomina del DPO non è una formalità, ma un obbligo sostanziale e pubblico. L’assenza del nominativo o la comunicazione errata comportano una violazione diretta e facilmente verificabile.
La vicenda solleva anche una riflessione più ampia sulla cultura della conformità nella pubblica amministrazione. Se un ente non rispetta neppure gli adempimenti più basilari, come la pubblicazione dei dati del DPO, è lecito domandarsi quale sia il livello complessivo di compliance ai principi del GDPR.
Questo ragionamento vale anche per le aziende private: la trasparenza e la corretta designazione del DPO sono un segnale di responsabilità e attenzione alla protezione dei dati, elementi sempre più rilevanti anche in sede di controlli e gare pubbliche.
Per saperne di più > Data Protection Officer (DPO): chi è, che cosa fa, perché serve
Il ruolo del DPO e l’importanza di una nomina corretta
Il Data Protection Officer è una figura centrale nel sistema di governance della privacy. Supervisiona la conformità al GDPR, fornisce consulenza al titolare e funge da punto di contatto con l’Autorità di controllo.
Nominarlo correttamente significa assicurare alla propria azienda un presidio costante di competenza e vigilanza. La sua presenza è obbligatoria per tutti gli enti pubblici e per numerose categorie di aziende che effettuano trattamenti su larga scala o trattano dati sensibili.
Per saperne di più > Il Data Protection Officer (DPO) in breve e il servizio DPO di GDPRlab
Per vedere il Provvedimento completo clicca qui.
Il servizio DPO di GDPRlab
Alla luce di queste considerazioni, GDPRlab svolge l’attività di DPO per aziende e enti pubblici, occupandosi anche della registrazione della nomina sul sito del Garante Privacy.
Attraverso il servizio DPO, GDPRlab garantisce supporto continuo nella gestione della conformità al GDPR e di tutti gli adempimenti privacy: analisi dei trattamenti, mappatura dei rischi, adeguamento organizzativo e monitoraggio costante della conformità.
I DPO di GDPRlab, certificati Accredia UNI 11697:2017, assistono le aziende nella gestione delle valutazioni d’impatto (DPIA), nella notifica dei data breach, nelle richieste di esercizio dei diritti e nella cooperazione con il Garante.
Tra le attività più rilevanti rientrano anche la definizione della struttura organizzativa privacy, la redazione della documentazione obbligatoria e il supporto alla conformità alla direttiva NIS2.
Vuoi sapere se per la tua azienda il DPO è obbligatorio? Vuoi nominarne uno esterno? Contatta i nostri DPO!