WhatsApp

info@brentasoft.com

WhatsApp

Richiedi Preventivo

DPIA e DPO: chi è obbligato e come gestirli nel 2021

Tabella dei Contenuti

La compliance al GDPR non è un adempimento burocratico da spuntare e dimenticare: è un processo continuo che ruota attorno a due figure tecniche e a un esercizio di analisi del rischio. Le figure sono il DPO (Data Protection Officer) e il documento è la DPIA (Data Protection Impact Assessment). Da quando il Regolamento UE 2016/679 è entrato in piena applicazione, il 25 maggio 2018, queste due lettere hanno alimentato dubbi infiniti nelle PMI italiane. La dpia dpo obbligatorio è davvero per tutti? Quando scatta l’obbligo? Cosa rischia chi la ignora?

In questa guida del 2021 facciamo chiarezza, alla luce delle linee guida WP248 dell’EDPB, dei provvedimenti del Garante Privacy italiano e dei casi concreti emersi nei primi tre anni di applicazione del Regolamento. L’obiettivo è darti un quadro operativo: capire se la tua azienda deve nominare un DPO, se deve fare una valutazione d’impatto e con quali strumenti gestire registro trattamenti, consensi e log accessi senza impazzire.

DPIA e DPO: i pilastri della compliance GDPR

Il GDPR ha sostituito la logica formale della vecchia normativa privacy (D.Lgs. 196/2003) con un approccio basato sul rischio: il titolare del trattamento non deve più chiedere autorizzazioni preventive al Garante, ma deve dimostrare di aver valutato i rischi e adottato misure adeguate. È il principio di accountability sancito dall’art. 5, paragrafo 2 del Regolamento.

In questo nuovo paradigma, DPIA e DPO sono i due strumenti chiave:

  • La DPIA è il documento con cui il titolare analizza un trattamento specifico ad alto rischio e dimostra di aver bilanciato finalità, mezzi, rischi per gli interessati e contromisure tecniche e organizzative.
  • Il DPO è la figura — interna o esterna — che vigila sull’applicazione del Regolamento, supporta il titolare nelle decisioni e fa da punto di contatto con l’autorità di controllo.

Un’azienda che gestisce dati personali in modo strutturato dovrebbe prevedere entrambi: una serie di DPIA aggiornate per i trattamenti più sensibili e un DPO (anche solo consultivo) che presidi i processi. Se gestisci anche un gestionale ERP, hai bisogno di un sistema con anagrafiche centralizzate e log accessi nativi: questo semplifica enormemente sia la DPIA sia l’audit del DPO.

La valutazione impatto privacy e la nomina del DPO non sono semplici scartoffie: sono leve operative che — se gestite bene — riducono il rischio sanzioni, migliorano la qualità del dato e creano fiducia con clienti, dipendenti e partner.

Cos’è una DPIA (Data Protection Impact Assessment)

Professionista analizza documenti DPIA su scrivania

L’art. 35 del GDPR definisce la DPIA come “una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali”. In pratica è un’analisi documentale che il titolare conduce prima di avviare un trattamento ritenuto ad alto rischio. Non è una semplice check-list: è un esercizio strutturato di mappatura, valutazione e mitigazione.

Una DPIA ben fatta contiene almeno questi elementi (art. 35, paragrafo 7):

  • Descrizione sistematica dei trattamenti previsti, delle finalità e dell’eventuale interesse legittimo perseguito.
  • Valutazione della necessità e proporzionalità rispetto alle finalità: stai raccogliendo solo i dati indispensabili?
  • Valutazione dei rischi per i diritti e le libertà degli interessati: probabilità e gravità dei possibili danni.
  • Misure previste per affrontare i rischi: cifratura, pseudonimizzazione, minimizzazione, controlli di accesso, formazione del personale, audit periodici.

La DPIA non è un documento “una tantum”: va aggiornata ogni volta che cambia il contesto del trattamento (nuova tecnologia, nuova finalità, nuovo fornitore). Le linee guida WP248 dell’ex Gruppo Articolo 29 (oggi EDPB) sottolineano che la DPIA è un processo iterativo, non un report da archiviare.

Un errore frequente è confondere la DPIA con il registro trattamenti gdpr (art. 30). Il registro è obbligatorio per quasi tutte le aziende sopra i 250 dipendenti (e per molte sotto, se gestiscono categorie particolari) e mappa tutti i trattamenti. La DPIA invece si concentra solo sui trattamenti ad alto rischio. Sono complementari ma distinti.

Quando una DPIA è obbligatoria

L’art. 35, paragrafo 3 del GDPR elenca tre casi in cui la DPIA è espressamente obbligatoria:

  1. Valutazione sistematica e globale di aspetti personali basata su trattamento automatizzato (compresa la profilazione) che produce effetti giuridici o significativi sull’interessato. Esempio: scoring creditizio automatico, valutazione automatica di candidati in selezione del personale.
  2. Trattamento su larga scala di categorie particolari di dati (art. 9: salute, biometrici, genetici, opinioni politiche, religiose, orientamento sessuale) o di dati relativi a condanne penali (art. 10).
  3. Sorveglianza sistematica di una zona accessibile al pubblico su larga scala: ad esempio videosorveglianza estesa di un centro commerciale o di una stazione.

Il Garante italiano ha integrato questi tre criteri con il provvedimento n. 467 dell’11 ottobre 2018, pubblicando una lista di trattamenti per i quali la DPIA è obbligatoria. Tra i casi più rilevanti per le PMI:

  • Trattamenti effettuati da datori di lavoro con sistemi tecnologici che monitorano dipendenti (geolocalizzazione, badge biometrico, controllo email).
  • Trattamenti di dati biometrici per autenticazione di utenti (riconoscimento facciale, impronte digitali).
  • Trattamenti basati su profilazione che incidono su accesso a servizi (assicurazioni dinamiche, marketing comportamentale avanzato).
  • Trattamenti di dati genetici, ad esempio in ambito sanitario specialistico.
  • Trattamenti che combinano dati di diverse fonti senza che l’interessato se lo aspetti.

Quando hai un dubbio, le WP248 suggeriscono nove criteri-spia: se il tuo trattamento ne soddisfa due o più, è prudente fare la DPIA. I criteri includono profilazione, decisioni automatizzate, monitoraggio sistematico, dati sensibili, larga scala, incrocio di dataset, soggetti vulnerabili (bambini, dipendenti, pazienti), uso innovativo di tecnologie e ostacolo all’esercizio di un diritto.

Come si fa una DPIA: i 5 step operativi

Costruire una DPIA non richiede stregoneria, ma metodo. Ecco i cinque step che usiamo nei progetti di compliance per PMI:

Step 1 — Descrivi il trattamento. Chi sono gli interessati? Quali dati raccogli? Da quali fonti? Per quali finalità? Quali tecnologie usi? Chi sono i destinatari (interni ed esterni)? Quanto dura il trattamento? Questo step alimenta anche il registro trattamenti gdpr.

Step 2 — Valuta necessità e proporzionalità. Per ogni dato raccolto, chiediti: è davvero indispensabile? Esiste una base giuridica solida (consenso, contratto, obbligo legale, interesse legittimo)? Hai applicato la minimizzazione? L’interessato è informato in modo chiaro?

Step 3 — Identifica e valuta i rischi. Per ogni minaccia (data breach, accesso non autorizzato, alterazione, perdita), stima probabilità e gravità su una scala (es. bassa/media/alta). Pensa agli scenari peggiori: cosa succede all’interessato se i dati finiscono nelle mani sbagliate?

Step 4 — Pianifica le misure di mitigazione. Per ogni rischio sopra soglia, identifica contromisure tecniche (cifratura at rest e in transit, pseudonimizzazione, backup, MFA) e organizzative (policy, formazione, audit, gestione fornitori). Le misure vanno calibrate sul rischio: non serve una server room blindata per gestire la rubrica clienti.

Step 5 — Documenta, valida, monitora. Il DPO valida la DPIA. Se permane un rischio elevato non mitigabile, devi consultare il Garante prima di procedere (art. 36 GDPR). Rivedi la DPIA almeno annualmente o quando cambia il contesto.

In molte PMI questi cinque step si traducono in 15-30 pagine di documento. Software come OneTrust, TrustArc, Privacy Tools o moduli integrati in gestionali personalizzati aiutano a strutturare il lavoro e a mantenere traccia delle revisioni.

Cos’è un DPO (Data Protection Officer)

Il data protection officer obbligo è disciplinato dagli articoli 37-39 del GDPR. Il DPO è una figura tecnica e indipendente che svolge tre funzioni principali:

  • Informa e consiglia il titolare e i dipendenti sugli obblighi del Regolamento.
  • Sorveglia l’osservanza del GDPR e delle policy interne in materia di protezione dei dati.
  • Coopera con l’autorità di controllo (in Italia il Garante Privacy) e funge da punto di contatto.

L’art. 38 del GDPR è chiarissimo sul fatto che il DPO deve essere coinvolto tempestivamente in ogni questione che riguardi la protezione dei dati personali. Non può essere consultato a cose fatte: deve partecipare alla progettazione di nuovi processi, software, campagne di marketing.

Il DPO non è un decisore: è un consulente qualificato. La responsabilità ultima resta del titolare. Per questo l’art. 38, paragrafo 6 vieta al DPO di svolgere compiti che possano dar luogo a un conflitto di interessi: non può essere allo stesso tempo Direttore IT, Direttore HR o CEO della stessa azienda di cui è DPO. Il Garante italiano ha sanzionato più volte aziende che avevano nominato come DPO il responsabile IT, ravvisando un conflitto strutturale.

Chi è obbligato a nominare un DPO

Team aziendale in riunione discute audit GDPR e nomina DPO

L’art. 37 del GDPR individua tre casi in cui la nomina del DPO è obbligatoria:

  1. Tutti gli enti pubblici e gli organismi pubblici (con eccezione delle autorità giurisdizionali nell’esercizio delle funzioni). Comuni, ASL, scuole, università, ministeri: nessuna eccezione per dimensioni.
  2. Soggetti privati la cui attività principale consiste in trattamenti che richiedono monitoraggio regolare e sistematico degli interessati su larga scala. Esempi: piattaforme di e-commerce con profilazione avanzata, social network, fornitori di servizi di telecomunicazione, società di credit scoring, aziende di marketing programmatico.
  3. Soggetti privati la cui attività principale consiste nel trattamento su larga scala di categorie particolari (art. 9) o di dati relativi a condanne penali (art. 10). Esempi: ospedali, cliniche, laboratori di analisi, RSA, agenzie di recupero crediti che gestiscono dati di insolventi.

Il punto debole sono le espressioni “attività principale” e “larga scala”. Le linee guida WP243 dell’EDPB chiariscono che “attività principale” sono i trattamenti core dell’azienda (quelli senza i quali non potrebbe operare), non quelli di supporto come la gestione delle buste paga. “Larga scala” si valuta su numero di interessati, volume di dati, durata, estensione geografica.

Per le PMI italiane tipiche (manifatturiero, retail, servizi B2B sotto i 250 dipendenti) la nomina del DPO è raramente obbligatoria, ma fortemente consigliata. Anche quando non obbligato, il titolare può nominare un DPO volontariamente: in questo caso si applicano comunque tutti gli obblighi degli articoli 37-39, quindi attenzione a non designare DPO “di facciata”.

Il Garante italiano, con il provvedimento del 30 novembre 2018, ha anche pubblicato FAQ specifiche sui criteri di designazione, chiarendo dubbi su settori grigi come studi medici associati, farmacie, scuole paritarie.

DPO interno vs esterno: pro e contro

Il GDPR consente di scegliere tra DPO interno (un dipendente dedicato) o DPO esterno (consulente o società di consulenza con contratto di servizio). La scelta dipende da dimensione, complessità e budget.

DPO interno — vantaggi: conoscenza approfondita dei processi aziendali, presenza quotidiana, integrazione naturale con i team operativi. Svantaggi: costo del personale a tempo pieno (raramente giustificato sotto i 200-300 dipendenti), rischio di conflitto di interessi se cumula altri ruoli, formazione continua a carico dell’azienda.

DPO esterno — vantaggi: costo variabile (canone mensile o gettone presenza), competenza specialistica già strutturata, indipendenza naturale dall’organigramma, esperienza maturata su clienti diversi. Svantaggi: minore conoscenza della singola realtà, rischio di “DPO multi-cliente” che gestisce 50+ aziende e diventa di fatto inattivo, necessità di rapporti contrattuali ben scritti (oggetto, tempi di risposta, SLA, riservatezza).

Per la maggior parte delle PMI italiane il DPO esterno è la scelta ragionevole, a patto di selezionare un professionista (avvocato, consulente certificato UNI 11697:2017 o ISO/IEC 17024) con un portfolio gestibile e un contratto chiaro che preveda incontri periodici, audit, formazione del personale e partecipazione a riunioni strategiche.

Profilo, formazione e indipendenza del DPO

L’art. 37, paragrafo 5 del GDPR richiede che il DPO sia designato “in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”.

Il GDPR non impone certificazioni specifiche, ma in Italia la norma UNI 11697:2017 definisce i requisiti di conoscenza, abilità e competenza per quattro figure professionali della privacy: Privacy Manager, Privacy Specialist, Privacy Auditor e Data Protection Officer. La certificazione UNI 11697 (rilasciata da enti accreditati ACCREDIA come schema accreditato secondo ISO/IEC 17024) è la più riconosciuta in Italia, anche se non obbligatoria.

Un DPO competente combina:

  • Competenze giuridiche: GDPR, D.Lgs. 196/2003 aggiornato, Direttiva ePrivacy, provvedimenti del Garante, giurisprudenza UE.
  • Competenze tecniche: sicurezza informatica di base, cifratura, controlli di accesso, gestione data breach, basi di rete.
  • Competenze organizzative: gestione progetti, formazione del personale, redazione policy, audit interni, capacità di dialogo con management e operativo.

L’indipendenza è altrettanto importante delle competenze. Il DPO deve poter dire “no” al titolare senza temere ritorsioni: l’art. 38, paragrafo 3 vieta espressamente di rimuoverlo o penalizzarlo per l’adempimento dei suoi compiti, e gli garantisce un canale di reporting diretto al vertice aziendale.

Software e strumenti per gestire DPIA e registro trattamenti

Schermo computer con sistema di sicurezza e protezione dati personali

Gestire DPIA, registro trattamenti, consensi, data breach e richieste di esercizio dei diritti con fogli Excel funziona per le aziende molto piccole. Già a 30-50 dipendenti diventa fragile e poco difendibile in caso di ispezione del Garante. Per questo nel 2021 esistono diverse categorie di strumenti.

Piattaforme privacy management dedicate:

  • OneTrust: leader globale, copre privacy, sicurezza, third-party risk, ESG. Adatto a grandi aziende e multinazionali.
  • TrustArc: piattaforma orientata alla compliance multi-giurisdizionale, particolarmente forte sui temi di privacy notice e cookie management.
  • Privacy Tools: soluzione italiana di Iubenda, adatta a PMI, integrata con cookie banner e privacy policy generator.
  • Logica Privacy: software italiano specifico per registro trattamenti e gestione DPIA.

Moduli integrati nei gestionali ERP: molti gestionali italiani hanno introdotto un modulo GDPR nativo per la gestione dei consensi clienti e dipendenti, log degli accessi, richieste di cancellazione, tracciamento delle finalità. L’integrazione con anagrafiche già strutturate è il vero valore aggiunto: non devi duplicare i dati in una piattaforma esterna.

Soluzioni cloud sicure: per le PMI che non vogliono gestire infrastruttura, le soluzioni cloud sicure con server in UE e certificazioni ISO 27001 sono spesso la scelta più ragionevole. La compliance del fornitore cloud diventa parte della tua compliance, ma attenzione: serve un DPA (Data Processing Agreement) firmato e una valutazione del trasferimento extra-UE.

Indipendentemente dallo strumento scelto, il principio è lo stesso: ogni trattamento deve essere tracciato, ogni base giuridica documentata, ogni accesso loggato, ogni richiesta dell’interessato gestita entro i termini (un mese, prorogabili in casi complessi).

Sanzioni per mancata nomina DPO o DPIA assente

Le sanzioni del GDPR sono graduate in due fasce. Per le violazioni dell’art. 35 (DPIA) e dell’art. 37 (DPO) si applica la fascia più bassa dell’art. 83, paragrafo 4: fino a 10 milioni di euro o 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore.

Sembra molto, ma per le PMI italiane il rischio reale è meno teorico di quanto si pensi. Negli ultimi anni il Garante ha emesso provvedimenti significativi:

  • Provvedimenti su comuni per mancata o tardiva nomina del DPO: sanzioni da 5.000 a 50.000 euro a seconda della dimensione e della reiterazione.
  • Sanzioni a strutture sanitarie private per DPIA assenti o inadeguate su sistemi di videosorveglianza, gestione cartelle cliniche elettroniche, app di telemedicina.
  • Sanzioni a società di marketing per profilazione su larga scala senza DPIA, con cifre nell’ordine delle centinaia di migliaia di euro.

Oltre alla sanzione amministrativa, ci sono i danni reputazionali (i provvedimenti del Garante sono pubblici), il rischio di azioni risarcitorie individuali da parte degli interessati ex art. 82 GDPR, e il rischio di blocco temporaneo del trattamento ordinato dall’autorità.

Errori frequenti nelle PMI italiane

Dopo tre anni di GDPR, gli errori che vediamo più spesso nelle PMI sono ricorrenti:

  1. “Ho fatto la privacy nel 2018, sono a posto.” Falso: la compliance è continua. Ogni nuovo CRM, ogni nuova videocamera, ogni nuova app HR può cambiare il quadro.
  2. DPO con conflitto di interessi, come il responsabile IT o il direttore HR. Il Garante ha sanzionato esplicitamente queste situazioni.
  3. Registro trattamenti compilato una volta sola e mai aggiornato. Deve essere un documento vivo, modificato ogni volta che cambia un trattamento.
  4. Consenso usato come base giuridica per tutto. Per il rapporto di lavoro la base è il contratto, non il consenso. Per gli obblighi fiscali è la legge. Il consenso si usa quando non c’è altra base.
  5. Mancanza di DPA con i fornitori. Ogni fornitore che tratta dati per tuo conto (cloud, payroll, hosting, posta elettronica, gestionale) deve avere un Data Processing Agreement firmato.
  6. Data breach non notificati entro 72 ore. La maggior parte delle PMI non ha procedure interne per identificare e classificare un breach.
  7. Cookie banner non conformi. Le linee guida del Garante del 10 giugno 2021 hanno alzato l’asticella: il pulsante “rifiuta” deve essere allo stesso livello di quello “accetta”.

La buona notizia è che la maggior parte di questi errori si risolve con un investimento ragionevole: un DPO esterno qualificato, un software di privacy management proporzionato all’azienda, formazione di base ai dipendenti. Per approfondire il quadro generale ti consigliamo la nostra guida GDPR per PMI 2021 e l’articolo sulla cookie law in Italia.

Domande frequenti

1. Una PMI con 50 dipendenti deve nominare il DPO?
Generalmente no, salvo che la sua attività principale rientri nei casi dell’art. 37 (monitoraggio sistematico su larga scala o trattamento di categorie particolari). Una clinica privata o un laboratorio di analisi sì; un’azienda manifatturiera tipica no. La nomina volontaria è comunque consigliata.

2. Posso nominare il mio commercialista come DPO?
Sì, ma solo se ha le competenze richieste dall’art. 37, paragrafo 5 e se non gestisce per te attività che generano conflitto di interessi (ad esempio, la rendicontazione dei dati personali dei dipendenti).

3. La DPIA è retroattiva?
Per i trattamenti già in corso al 25 maggio 2018 non è retroattivamente obbligatoria, ma il Garante richiede comunque di valutarne la coerenza con il GDPR. Per i trattamenti modificati o nuovi, sì.

4. Quanto costa un DPO esterno per una PMI?
Nel 2021 i canoni mensili oscillano tra 200 e 1.500 euro a seconda della complessità, dei trattamenti gestiti, del numero di dipendenti e dell’eventuale presenza on-site. Diffida dei “DPO a 50 euro al mese”: non è realistico.

5. Il DPO deve essere fisicamente in azienda?
No, il GDPR non lo richiede. Può operare in remoto, ma deve essere raggiungibile dagli interessati e dall’autorità di controllo, e i suoi recapiti devono essere pubblici (sito, privacy policy).

6. Cosa succede se il Garante mi chiede la DPIA e non l’ho?
Scatta il procedimento sanzionatorio (fino a 10 milioni o 2% del fatturato). In aggiunta, se il trattamento è ad alto rischio non mitigato, il Garante può ordinare la sospensione del trattamento.

7. Esistono modelli di DPIA pronti?
Il Garante e l’EDPB pubblicano linee guida e schemi (vedi Garante Privacy e EDPB). Sono utili come scheletro ma vanno adattati al contesto specifico.

Vuoi un sistema gestionale già a norma GDPR?

Brentasoft sviluppa software con privacy by design integrata: registro trattamenti, gestione consensi, log accessi, workflow DPIA e supporto DPO per PMI italiane.

Scopri ERP Brenta →