Avv. Antonino Ingoglia - Diritto IT e Privacy
Aziende2026-03-207 min read

DPO Interno vs Esterno: Quale Scegliere? Guida con Casi Pratici

Confronto approfondito tra DPO interno ed esterno: vantaggi, rischi, conflitti di interesse, costi e criteri di scelta secondo GDPR, EDPB e Garante Privacy.

La scelta tra DPO interno e DPO esterno è una delle decisioni più delicate nella governance privacy di un'organizzazione. Una scelta sbagliata non espone solo a rischi di non conformità, ma può portare a sanzioni fino a 10 milioni di euro o al 2% del fatturato mondiale (Art. 83, par. 4, GDPR).

Questa guida analizza i criteri di scelta alla luce del Regolamento (UE) 2016/679, delle Linee Guida WP243 rev.01 (Gruppo di Lavoro Art. 29, adottate dall'EDPB) e dei provvedimenti del Garante per la protezione dei dati personali.

Quando il DPO è Obbligatorio (Art. 37 GDPR)

Il GDPR impone la nomina del DPO (Responsabile della Protezione Dati — RPD) in tre casi tassativi:

  1. Autorità pubbliche o organismi pubblici che effettuano trattamenti (escluse autorità giurisdizionali nell'esercizio delle funzioni)
  2. Monitoraggio regolare e sistematico degli interessati su larga scala come attività principale
  3. Trattamento su larga scala di dati particolari (Art. 9: dati sanitari, biometrici, genetici, opinioni politiche, ecc.) o dati relativi a condanne penali (Art. 10)

Anche quando non obbligatorio, il Garante raccomanda la nomina come buona prassi di accountability (Art. 5, par. 2).

Il Confronto: DPO Interno vs DPO Esterno

| Criterio | DPO Interno | DPO Esterno | |----------|-------------|-------------| | Indipendenza (Art. 38) | Rischio strutturale di conflitto di interesse | Garantita: nessun legame gerarchico con il titolare | | Costi fissi | Stipendio + contributi + formazione continua + strumenti | Compenso forfettario prevedibile, tutto incluso | | Costi variabili | Bassi (risorsa interna dedicata) | Possibili extra per attività straordinarie (audit, data breach) | | Competenze | Limitate all'esperienza del singolo dipendente | Multidisciplinari: giuridiche, tecniche, di settore | | Aggiornamento normativo | A carico dell'azienda (budget e tempo) | Incluso: EDPB, Garante, giurisprudenza CGUE | | Conoscenza dell'organizzazione | Profonda (vive i processi dall'interno) | Richiede fase di assessment e onboarding iniziale | | Flessibilità | Risorsa fissa, difficile da scalare | Impegno modulabile: da poche ore/mese a presenza strutturata | | Disponibilità | Dedicata ma spesso frammentata con altri compiti | Definita contrattualmente, con SLA di risposta | | Conflitto di interessi | Rischio elevato se cumula altri ruoli | Rischio residuo se il DPO è anche consulente operativo dello stesso titolare | | Ideale per | Grandi organizzazioni con team privacy dedicato | PMI, startup, organizzazioni senza team privacy interno |

Il Problema Centrale: il Conflitto di Interessi

L'Art. 38, par. 6, del GDPR stabilisce che il DPO "può svolgere altri compiti e funzioni" ma il titolare deve assicurare che questi "non diano adito a un conflitto di interessi".

Il principio è chiaro: chi determina finalità e mezzi del trattamento non può controllare se stesso.

Ruoli Incompatibili con il DPO

Le Linee Guida WP243 rev.01 e i provvedimenti del Garante hanno chiarito che i seguenti ruoli sono incompatibili con la funzione di DPO:

  • Amministratore delegato / Direttore generale
  • Responsabile IT / IT Manager
  • Responsabile risorse umane (HR)
  • Responsabile marketing
  • Direttore finanziario (CFO)
  • Responsabile audit / risk management
  • Responsabile compliance (se determina le modalità dei trattamenti)

Secondo le Linee Guida WP243 rev.01, come regola generale: "non possono essere designati DPO le figure apicali (CEO, COO, CFO, direttore sanitario, responsabile marketing, responsabile HR, responsabile IT) che determinano le finalità e i mezzi del trattamento dei dati personali".

Casi Reali di Sanzioni per Conflitto di Interessi

Garante italiano — Provvedimento del 31 agosto 2023: ammonimento a un Comune per aver designato come DPO il responsabile del servizio IT. Il Garante ha rilevato che il ruolo IT implica decisioni su finalità e mezzi del trattamento, rendendo la nomina strutturalmente incompatibile.

Garante italiano — Accademia di Belle Arti di Roma: sanzionata per aver nominato come DPO la Direttrice Amministrativa, un ruolo che comporta decisioni operative sui trattamenti, rendendo impossibile una sorveglianza indipendente.

BfDI (Autorità tedesca): sanzione di 525.000 euro a un'azienda il cui DPO era contemporaneamente amministratore delegato di due società che trattavano dati per conto del titolare. Un conflitto di interessi lampante.

Punto chiave: la responsabilità di verificare l'assenza di conflitto di interessi ricade esclusivamente sul titolare del trattamento (Art. 38, par. 6), non sul DPO stesso.

Quando Scegliere un DPO Interno

Il DPO interno è preferibile quando:

  • L'organizzazione ha dimensioni tali da giustificare una risorsa dedicata full-time alla protezione dati
  • Esiste la possibilità di individuare una figura che non ricopra ruoli decisionali sui trattamenti
  • I trattamenti sono molto complessi e richiedono una conoscenza profonda e costante dei processi interni
  • L'organizzazione dispone di budget per formazione continua del DPO (corsi, certificazioni, convegni)

Attenzione: il DPO interno non deve essere penalizzato per l'esercizio delle sue funzioni (Art. 38, par. 3). Non può essere rimosso o sanzionato per aver segnalato criticità al vertice aziendale.

Quando Scegliere un DPO Esterno

Il DPO esterno è la scelta più sicura quando:

  • L'organizzazione è una PMI o startup senza personale dedicato alla privacy
  • Non è possibile individuare internamente una figura priva di conflitti di interesse
  • Si vuole garantire un livello elevato di competenza specialistica senza investimenti formativi interni
  • Si preferiscono costi prevedibili e modulabili in base alle esigenze
  • L'organizzazione opera in settori regolati (sanità, fintech, e-commerce) dove le competenze richieste sono multidisciplinari (giuridiche + tecniche)

Cosa Verificare nella Scelta del DPO Esterno

Anche il DPO esterno può avere un conflitto di interessi. Verificare che:

  • Non sia anche il fornitore dei servizi IT o di consulenza operativa per lo stesso titolare
  • Non abbia interessi economici legati ai risultati dei trattamenti che deve sorvegliare
  • Abbia le qualifiche professionali richieste dall'Art. 37, par. 5 (conoscenza specialistica del diritto e delle prassi in materia di protezione dati)
  • Il contratto preveda autonomia operativa, accesso diretto al vertice e assenza di istruzioni nel merito

Requisiti del DPO: Interno o Esterno (Art. 37, par. 5)

Indipendentemente dalla scelta, il DPO deve essere designato in base a:

  • Qualità professionali: conoscenza specialistica della normativa privacy
  • Competenza pratica: esperienza nella gestione operativa della protezione dati
  • Capacità di assolvere i compiti previsti dall'Art. 39 (sorveglianza, consulenza, cooperazione con il Garante, gestione DPIA)
  • Accessibilità: deve essere facilmente contattabile dagli interessati e dal Garante (Art. 38, par. 4)

Non è richiesta una certificazione obbligatoria, ma il Garante ha precisato che certificazioni (es. UNI 11697:2017) possono costituire un valido indicatore di competenza.

Domande Frequenti

Il DPO è personalmente responsabile in caso di sanzioni GDPR? No. La responsabilità del rispetto del GDPR ricade sul titolare del trattamento (Art. 5, par. 2) e, per la propria parte, sul responsabile del trattamento (Art. 28). Il DPO non è personalmente responsabile della non conformità dell'organizzazione.

Si può nominare un team come DPO? Le Linee Guida WP243 rev.01 prevedono che si possa designare un team DPO, purché sia identificato un referente principale (lead DPO) come punto di contatto per gli interessati e il Garante.

Quanto costa un DPO esterno in Italia? Il costo dipende dalla complessità dell'organizzazione, dal volume dei trattamenti e dal livello di supporto richiesto. Per una PMI con trattamenti standard, i compensi partono indicativamente da poche centinaia di euro mensili. L'investimento va rapportato al rischio sanzionatorio: fino a 10 milioni di euro per violazioni relative al DPO.

Il DPO esterno deve essere un avvocato? No. Il GDPR non richiede una qualifica professionale specifica. Tuttavia, la conoscenza specialistica del diritto privacy è un requisito essenziale (Art. 37, par. 5). Un avvocato specializzato in diritto della protezione dati offre garanzie aggiuntive di competenza giuridica e deontologica (segreto professionale).

Si può cambiare DPO senza motivo? L'Art. 38, par. 3 stabilisce che il DPO non può essere rimosso o penalizzato per l'esercizio delle sue funzioni. La revoca dell'incarico deve essere motivata e non collegata all'attività di sorveglianza svolta. Per il DPO esterno, le condizioni di recesso devono essere previste nel contratto.

Nota Informativa: I contenuti di questo articolo hanno finalità puramente divulgative e informative. Non costituiscono parere legale né instaurano un rapporto professionale. Ogni caso concreto richiede una valutazione specifica.
Torna agli articoli

Serve assistenza per il tuo caso?

Prenota un assessment online in videochiamata da tutta Italia. Analizzeremo la situazione e definiremo i passi operativi in totale sicurezza.