Chi sbaglia paga, ma non certo il DPO. A stabilirlo chiaramente è una recente sentenza del tribunale di Firenze, la n. 3034 del 29 maggio 2026, la quale afferma con chiarezza e precisione che le decisioni sulle misure di sicurezza non spettano di certo al DPO, ma esclusivamente al titolare del trattamento.
Non ci sono vie di mezzo, né scappatoie e la normativa in materia è chiara. Seguiamo il ragionamento del Giudice fiorentino.
Indice degli argomenti
La sentenza nel suo principio innovativo
Non è tanto innovativo il richiamo al ruolo del DPO, quanto il fatto che a farlo non sia il solito Garante privacy, ma un giudice di un tribunale il quale, chiamato a decidere in diritto sui fatti di causa, delinea molto bene quelli che sono i compiti del DPO non solo come li conosciamo dalla lettura degli articoli previsti dal GDPR (artt. 37-39) unitamente alle linee guida del WP29 sulla medesima figura, ma calati efficacemente nel contesto, traducendoli in concreto.
Dai fatti di causa alle pretese infondate
La questione prende le mosse da un decreto ingiuntivo per il mancato pagamento delle fatture per l’attività effettivamente svolta dal DPO.
L’impresa che lo aveva incaricato non lo aveva pagato ritenendolo responsabile perché un dipendente incappato in una e-mail dal contenuto ingannevole recava un nuovo IBAN al quale mandava somme per quasi 400mila euro.
A fronte di ciò, l’impresa truffata nell’opporsi al decreto ingiuntivo sosteneva che il DPO non aveva messo “in atto tutta una serie di misure di sicurezza ritenute imprescindibili secondo le buone prassi in tema di cyber security”.
Il DPO nella sua reale veste
La sentenza in parola non si limita a richiamare astrattamente il ruolo e i compiti del DPO invocando i noti articoli del Regolamento stabiliti al riguardo, ma si spinge oltre applicandoli nel concreto affermando testualmente che “il DPO non assume mai compiti propriamente esecutivi dal momento che, ai sensi dell’art. 24, par. 1, GDPR è il titolare del trattamento e non il DPO a dover mette[re] in atto misure tecniche e organizzative adeguate pergarantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente alpresente regolamento, con la conseguenza che, in caso di inosservanza delle misurepreviste dal GDPR, la responsabilità grava esclusivamente in capo al titolare e alresponsabile del trattamento (cfr. WP29, p. 22)”.
In altri termini, il DPO non è una figura esecutiva, anzi. Egli “appare come un soggetto preposto alla verifica sui trattamenti dei dati da parte del titolare/responsabile e rispetto a questi esprime un giudizio di conformità o difformità, fornendo altresì informazione, consulenza e indirizzo” (cfr. WP29, p. 22 e p. 33).
Quindi, la reale veste del DPO è meno operativa e più consultiva, di indirizzo atta ad orientare il titolare nelle scelte, ma non deve mai, al medesimo, sostituirsi.
Il DPO, infatti, è tenuto alla “verifica circa l’esatto adempimento delle prestazioni conferite[gli] e deve muovere da tale perimetrazione dei compiti ad esso affidati ossia di consulenza e analisi ed eventualmente, segnalazione della difformità”.
L’importanza del contratto da DPO
Il contratto da DPO non è una mera formalità, anzi; e un buon accordo evita proprio situazioni promiscue e annesse possibili conseguenze in termini di responsabilità. Ma non funziona così. Infatti, tanto più è dettagliato il contratto di servizio e tanto meno potranno crearsi facili abbrivi per scarichi di responsabilità, con pretese risarcitorie non avanzabili nei confronti del DPO.
Un contratto (da DPO) tanto è più dettagliato nelle attività (audit periodici, report as is e gap analysis, remediation plan post audit, relazione annuale, parere sulle DPIA ecc.) quanto non lascerà margini di incertezze e possibilità di avanzare pretese risarcitorie.
Queste ultime, a tutto concedere, potranno essere sostenute in punto di responsabilità civile qualora l’impresa sia in grado di dimostrare che il DPO abbia consigliato male o avallato sistemi di sicurezza nient’affatto sicuri e resilienti in termini di cyber sicurezza.
