Il legale rappresentante non può essere DPO

14 Luglio 2025

Una recente sanzione del Garante Privacy ribadisce l’importanza dell’indipendenza del DPO e il divieto di cumulo tra i due ruoli.

Il legale rappresentante può essere il Data Protection Officer della propria azienda?

A sette anni dall’introduzione del Regolamento Europeo in materia di protezione dei dati personali (GDPR), continuano a emergere criticità applicative anche su principi ormai consolidati. Ne è testimonianza la recente sanzione, del 28 febbraio 2025, con cui il Garante per la protezione dei dati personali ha condannato una società di riabilitazione creditizia per aver nominato il proprio legale rappresentante come Data Protection Officer.

Una decisione contraria al dettato normativo, che stabilisce la necessità di garantire l’indipendenza e l’autonomia di questa figura rispetto ai soggetti che determinano le finalità e i mezzi del trattamento.

Il ruolo del Data Protection Officer secondo il GDPR

Il Data Protection Officer è il soggetto che, all’interno di una organizzazione pubblica o privata, supporta, consiglia e vigila sul corretto rispetto della normativa in materia di trattamento dei dati personali. Deve farlo in piena indipendenza, riferendo direttamente ai vertici e senza ricevere istruzioni sull’esecuzione dei suoi compiti.

Per assicurare questa indipendenza, il Regolamento prevede che non possano essere attribuite al DPO funzioni che lo espongano a conflitti di interesse, ossia incarichi che gli consentano di determinare le modalità e le finalità dei trattamenti di dati personali.

Perché il legale rappresentante non può essere nominato DPO

Nominare il legale rappresentante come DPO comporta una grave violazione normativa, per diversi motivi:

Conflitto di interessi: il legale rappresentante è responsabile delle decisioni aziendali, comprese quelle relative alla gestione dei dati personali. Attribuirgli anche il ruolo di vigilanza significa controllare la correttezza delle proprie stesse decisioni.
Mancanza di indipendenza: il DPO deve poter esercitare il proprio incarico senza condizionamenti e con la possibilità di segnalare criticità anche contro l’interesse gestionale dell’azienda.
Autonomia compromessa: un DPO coincidente con il legale rappresentante non sarebbe libero di valutare rischi o adottare misure correttive che potrebbero ostacolare decisioni aziendali già assunte.

Il caso sanzionato dal Garante

Nel caso esaminato, la società aveva nominato il proprio legale rappresentante come DPO, omettendo tra l’altro di comunicarlo all’Autorità. Nel corso dell’istruttoria sono state accertate numerose irregolarità:

La gestione di un database contenente oltre 70.000 dati personali senza criteri di conservazione, informativa o distinzione tra le società coinvolte.
L’affidamento di trattamenti a soggetti esterni senza contratti di designazione.
La mancata cancellazione dei dati non più necessari.

In considerazione della gravità e della pluralità delle violazioni, il Garante ha disposto una sanzione di 70.000 euro e ha prescritto una serie di misure correttive.

I chiarimenti del Garante: il Provvedimento n. 802/2024

Già con il Provvedimento n. 802 del 19 dicembre 2024, il Garante aveva precisato che il Data Protection Officer non può coincidere con il legale rappresentante della società presso cui è nominato. Si tratta di una incompatibilità funzionale e sostanziale, destinata a garantire l’effettiva indipendenza e autonomia di questa figura.

Il rispetto dei principi di indipendenza e assenza di conflitti di interesse è fondamentale per garantire una gestione trasparente, sicura e conforme dei dati personali. La nomina del DPO deve avvenire con attenzione, evitando che il ruolo sia ricoperto da figure apicali come amministratori o legali rappresentanti, il cui coinvolgimento nelle decisioni operative renderebbe impossibile svolgere le funzioni di controllo previste dalla normativa.

L’episodio sanzionato conferma l’importanza di un approccio corretto e strutturato alla governance della privacy, a tutela sia delle aziende che dei diritti delle persone interessate.