In sintesi
- L'art. 38 GDPR disciplina la posizione del DPO: indipendenza, risorse, coinvolgimento.
- Coinvolgimento tempestivo in tutte le questioni privacy (par. 1).
- Risorse adeguate: tempo, staff, budget, accesso, formazione (par. 2).
- Indipendenza: nessuna istruzione, no rimozione/penalizzazione (par. 3).
- No conflitti di interessi: incompatibilità con ruoli decisionali sui trattamenti (par. 6).
- Reporting diretto al vertice (par. 3).
Testo dell'articoloVigente
Articolo 38 del Regolamento (UE) 2016/679 (GDPR) — Posizione del responsabile della protezione dei dati.
Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Commento
Indipendenza e autorevolezza
L'art. 38 GDPR disciplina la posizione del DPO: indipendenza, autorevolezza, risorse, coinvolgimento. La norma assicura che il DPO non sia mera figura formale, ma effettivo presidio di governance. Senza indipendenza e risorse, il DPO è inefficace. Le linee guida EDPB 5/2017 (rev) hanno consolidato le best practice. Il Garante italiano ha sanzionato titolari che hanno designato DPO senza garantire le condizioni dell'art. 38.
Coinvolgimento tempestivo (par. 1)
Il par. 1 prevede che il titolare e il responsabile si assicurino che il DPO sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali. È regola di partecipazione decisionale: il DPO non è consulente esterno chiamato a sanzionare scelte già prese, ma figura integrata nei processi di progettazione, valutazione, esecuzione. Coinvolgimento tempestivo significa fin dalle prime fasi del progetto, non a valle quando le scelte sono cristallizzate.
Risorse necessarie (par. 2)
Il par. 2 prevede che il titolare e il responsabile sostengano il DPO nell'esecuzione dei compiti fornendogli le risorse necessarie e l'accesso ai dati personali e ai trattamenti, e per mantenere la propria conoscenza specialistica. Le risorse includono: tempo (FTE adeguato), staff di supporto (team privacy), budget per formazione e consulenze esterne, accesso a sistemi e documenti, partecipazione a comitati direttivi. La formazione continua è esplicitamente garantita.
Indipendenza nell'esercizio (par. 3)
Il par. 3 stabilisce l'indipendenza: il DPO non riceve alcuna istruzione per quanto riguarda l'esecuzione di tali compiti. Non è rimosso o penalizzato per l'esecuzione dei compiti. È regola di tutela dell'autonomia professionale: il DPO esprime pareri liberi, anche contrari al business, senza temere ritorsioni. Le sanzioni del Garante hanno colpito titolari che hanno demansionato o licenziato DPO che avevano segnalato non conformità. Il DPO non risponde gerarchicamente alle business unit; risponde al vertice.
No conflitto di interessi
Il par. 6 prevede che il DPO possa svolgere altri compiti e funzioni, ma il titolare e il responsabile devono assicurare che tali compiti non determinino conflitti di interessi. Le linee guida EDPB hanno identificato ruoli incompatibili con DPO: CIO, CISO, HR director, CMO, CFO (quando decidono finalità e mezzi del trattamento). DPO esterno deve essere indipendente dalla società. La regola è sostanziale: chi decide non può controllare. Il Garante ha sanzionato cumuli di ruolo problematici.
Reporting al top management (par. 3)
Il par. 3, ultimo periodo, prevede che il DPO riferisca direttamente al vertice gerarchico del titolare o del responsabile. È regola di reporting: il DPO riporta al CEO, board, organi di amministrazione, non a un manager di livello intermedio. Il reporting diretto garantisce visibilità delle questioni privacy al massimo livello decisionale e consente al DPO di influire sulle scelte strategiche. La governance moderna prevede privacy committee con partecipazione del DPO al board.
Regola pratica e checklist operativa
Compliance art. 38: (i) job description chiara e con risorse; (ii) coinvolgimento nel governance lifecycle; (iii) accesso ai sistemi e documenti; (iv) budget di formazione; (v) reporting line diretta al CEO/board; (vi) tutela contro rimozione; (vii) verifica di assenza di conflitti; (viii) review periodica della performance. Il DPO efficace è investimento strategico.
Accountability e documentazione
Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.
Coordinamento con il Codice Privacy italiano
L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.
Casi pratici
Caso 1: Tizio: DPO senza risorse
Tizio designa DPO ma non gli dà tempo né staff. Art. 38, par. 2 violato. Il Garante ha sanzionato: DPO è governance, non timbro formale.
Caso 2: Caio: DPO licenziato per parere contrario
Caio, titolare, licenzia DPO che ha contestato una scelta non conforme. Par. 3 violato: il DPO è tutelato. Sanzione e reintegro possibili.
Caso 3: Sempronio: DPO = CISO
Sempronio cumula ruoli DPO e CISO. Il CISO decide misure di sicurezza che il DPO dovrebbe valutare: conflitto par. 6. Va separato.
Caso 4: Commento applicativo
L'art. 38 è il test di serietà della governance. DPO con risorse, indipendenza, reporting diretto è efficace. DPO formale è red flag per audit del Garante.
Domande frequenti
Il DPO è coinvolto in tutto?
Sì, in tutte le questioni privacy, tempestivamente (par. 1). Dalle fasi iniziali del progetto, non solo a valle.
Quali risorse servono?
Tempo adeguato, staff di supporto, budget per formazione/consulenze, accesso a sistemi e documenti, partecipazione a comitati (par. 2).
Il DPO è indipendente?
Sì. Non riceve istruzioni sui compiti, non è rimosso o penalizzato (par. 3). Riferisce al vertice gerarchico.
Quali ruoli sono incompatibili?
Ruoli che decidono finalità e mezzi del trattamento: CIO, CISO, HR director, CMO, CFO. EDPB linee guida 5/2017 (rev). Cumuli problematici sono sanzionati.
A chi riporta?
Al vertice gerarchico (CEO, board, organi di amministrazione). Non a manager intermedi. Garantisce visibilità al massimo livello.
Vedi anche