DPO interno vs esterno: quale scegliere per la tua PMI (2021)

Il contesto 2021: tre anni di GDPR e una stagione di sanzioni

Il GDPR è in vigore dal 25 maggio 2018: nel 2021 abbiamo già tre anni di enforcement reale alle spalle, e le sanzioni hanno smesso di essere un’ipotesi accademica. Il Garante Privacy italiano ha chiuso il 2020 con la multa da 27,8 milioni di euro a Vodafone Italia (telemarketing aggressivo, listini ceduti senza base giuridica) e nel luglio 2021 ha colpito due piattaforme di food delivery: 2,6 milioni a Foodinho/Glovo e 2,5 milioni a Deliveroo Italia per algoritmi opachi di rating rider, profilazione automatica e mancata DPIA. A livello europeo l’EDPB ha confermato che il commissionario di trattamento e il DPO sono soggetti sotto osservazione costante.

In questo scenario la PMI italiana scopre che "avere un DPO" non è più una scelta cosmetica. Il problema operativo, però, rimane: il titolare medio sotto i 250 dipendenti non sa se sia obbligato a nominarlo (l’art. 37 GDPR usa criteri qualitativi, non un soglia per dimensione), e una volta deciso che gli conviene farlo, non sa se internalizzare o affidarsi a un consulente esterno.

Questa guida risponde a tre domande nette: il mio caso ricade negli obblighi legali?, quanto costa davvero un DPO nel 2021 in Italia?, interno o esterno?. Trovi un decision framework, un budget benchmark da consulenze reali, gli errori che il Garante Privacy ha già sanzionato e una roadmap di nomina in 60 giorni con schema HowTo. Approfondimento di sistema in GDPR aziendale: guida pratica 2021 per PMI.

Cos’è il DPO (Data Protection Officer): art. 37-39 GDPR

Il DPO — in italiano Responsabile della Protezione dei Dati — è la figura introdotta dagli articoli 37, 38 e 39 del GDPR (Regolamento UE 2016/679) con tre compiti principali: informare e consigliare titolare e dipendenti sugli obblighi privacy, sorvegliare l’applicazione del Regolamento e delle politiche interne, e cooperare con l’autorità di controllo (in Italia, il Garante Privacy).

Le caratteristiche obbligatorie

Il DPO non è un consulente generico. La normativa richiede:

• Competenza specialistica in diritto e prassi privacy (art. 37(5)), proporzionata al rischio dei trattamenti.
• Indipendenza: il titolare non può dargli istruzioni operative sui suoi compiti (art. 38(3)), né sanzionarlo per le opinioni espresse.
• Accesso diretto al vertice: riferisce al top management, non a un dirigente intermedio.
• Risorse: tempo, budget, accesso a dati e processi, formazione continua.
• Assenza di conflitto di interesse: non può ricoprire ruoli che decidano finalità e mezzi del trattamento (CIO, CMO, HR director con potere decisionale sui dati).

L’EDPB nelle sue Guidelines on Data Protection Officers (WP243 rev.01, 2017) ha chiarito che ricoprire contemporaneamente il ruolo di responsabile IT e DPO è un conflitto di interesse strutturale. La stessa posizione è stata ribadita dalla DSB austriaca (decisione 2020) e dal Tribunale di Hannover (2019) che ha multato un’azienda per nomina con conflitto.

Nel concreto un DPO esegue ogni mese: audit trattamenti e aggiornamento del ROPA (Records of Processing Activities, art. 30), revisione delle DPIA per i trattamenti ad alto rischio, formazione, gestione dei data breach (notifica entro 72 ore al Garante Privacy ex art. 33), risposta a richieste degli interessati (artt. 15-22), liaison con responsabili esterni.

Quando il DPO è obbligatorio per legge

L’art. 37(1) GDPR elenca tre ipotesi di obbligo:

1) Autorità pubblica o organismo pubblico

Comuni, ASL, scuole, università, agenzie statali, in house providing pubblico: obbligo automatico. Anche le partecipate pubbliche che trattano dati in funzione del servizio pubblico rientrano qui. Il Codice Privacy italiano aggiornato dal D.lgs. 101/2018 ha confermato questa lettura.

2) Large scale monitoring of data subjects

Monitoraggio sistematico, regolare e su larga scala degli interessati come core activity. Esempi tipici 2021: piattaforme di adv programmatic, telco con profilazione marketing, video sorveglianza urbana, fidelity card retail con tracking comportamentale, piattaforme fintech con scoring automatizzato, IoT con telemetria utenti. L’EDPB usa quattro indicatori per "larga scala": numero di interessati, volume dati, durata, estensione geografica.

3) Large scale special data

Trattamento su larga scala di dati particolari (art. 9: salute, biometrici, genetici, origine razziale/etnica, opinioni politiche, fede religiosa, dati sessuali) o di dati relativi a condanne (art. 10). Cliniche private medio-grandi, laboratori analisi, RSA, software house verticali per la sanità, piattaforme di telemedicina, security companies con riconoscimento facciale.

L’art. 37(4) e la chance del DPO volontario

Anche fuori da queste ipotesi, l’art. 37(4) GDPR permette la nomina volontaria. Una volta nominato, anche se volontario, il DPO è soggetto a tutti gli obblighi degli artt. 38-39: indipendenza, risorse, segreto professionale. Non si può nominare un "DPO light".

Quando il DPO è fortemente consigliato anche se non obbligatorio

Tra l’obbligo legale e l’irrilevanza c’è una grande zona grigia in cui per la PMI il DPO è comunque la scelta di governance, anche senza obbligo formale.

Caso 1: e-commerce e marketing data-driven

PMI con 50.000+ utenti registrati, email marketing, profilazione comportamentale, retargeting Facebook Ads. Anche se non è "monitoraggio sistematico" in senso stretto, l’esposizione al rischio sanzioni cresce col volume.

Caso 2: settori regolamentati senza obbligo

Studi legali, commercialisti, agenzie di selezione personale (dati art. 10), agenzie immobiliari. Non sempre obbligati per dimensione, ma trattano dati di terzi sotto vincolo deontologico stringente.

Caso 3: software house B2B

Chi fornisce CRM o ERP a centinaia di clienti diventa responsabile del trattamento. Il DPO qui è spesso richiesto contrattualmente come prerequisito per firmare la DPA (Data Processing Agreement) — segnale di maturità che gli enterprise customer cercano.

Caso 4: piano di internazionalizzazione UE

PMI che vendono cross-border in UE: CNIL francese, AEPD spagnola, DSB austriaca hanno interpretazioni leggermente diverse sull’obbligo. Avere un DPO riduce il rischio di contenzioso multi-paese. Per chi gestisce dati anche fuori dal contesto sanità/fintech vale la pena leggere la guida alla NIS Directive cybersecurity 2021 che incrocia gli obblighi privacy con quelli di sicurezza dei servizi essenziali.

DPO interno: i vantaggi reali

Conoscenza profonda dei processi

Un DPO dipendente vive in azienda: conosce il flusso ordine-fatturazione, come l’HR archivia i CV, come il marketing usa il CRM. Per redigere un ROPA non servono interviste lunghe: ha la mappa mentale dei trattamenti.

Presenza fisica e accessibilità

Il dipendente con una segnalazione su un consenso bussa alla scrivania. Il commerciale chiede in pausa caffè se può mandare la newsletter. Questa "frizione bassa" aumenta la compliance reale.

Costo annuo prevedibile

Un DPO interno full-time mid-senior costa nel 2021 italiano tra 35.000 e 55.000 euro RAL. Aggiungi 2.000-5.000 euro/anno di formazione (master DPO UNICRI, corsi ISO/IEC 27701, aggiornamenti EDPB) e oneri datoriali. Costo piatto: non cresce con incidenti o richieste interessati.

DPO interno: gli svantaggi

Conflitto di interesse strutturale

Pochi candidati interni sono davvero indipendenti. Il direttore IT con doppio cappello DPO è il caso più sanzionato. L’EDPB nelle Guidelines DPO: chi decide finalità e mezzi non può essere DPO. Casi sanzionati in Belgio, Germania, Spagna 2020-2021.

Specializzazione legale limitata

Un DPO serio segue EDPB Guidelines, decisioni del Garante Privacy, sentenze CGUE (Schrems II del luglio 2020 ha rivoluzionato i trasferimenti extra-UE). Un singolo professionista interno fa fatica a tenere il passo come un team.

Formazione continua a carico azienda

Il DPO interno richiede master annuali, certificazioni (TÜV, UNI 11697:2017), conferenze. Se l’azienda taglia il budget formazione, in 12 mesi il DPO è tecnicamente obsoleto.

Isolamento e marginalizzazione

Un DPO interno che dice troppi "no" al commerciale rischia di essere ignorato. Il Garante Privacy nella decisione Foodinho (luglio 2021) ha esplicitamente censurato l’isolamento del DPO dai processi decisionali algoritmici.

DPO esterno: i vantaggi

Specializzazione e team di backoffice

Un DPO esterno serio non è un consulente solitario: dietro c’è uno studio con avvocati privacy, esperti tecnici, formatori. Una DPIA complessa la fa il team, non la singola persona. Le ultime novità EDPB arrivano via newsletter interna prima che escano sulla stampa specializzata.

Esperienza multi-cliente come acceleratore

Il DPO esterno che segue 15-30 clienti vede pattern che il singolo titolare non vede: il classico errore sul consenso nel form contatti, l’incident type ricorrente, la clausola DPA che non regge in giudizio. Porta in casa best practice maturate fuori.

Copertura assicurativa

Gli studi seri sottoscrivono polizza professionale con massimali da 1-5 milioni di euro che copre errori, omissioni e responsabilità. Un DPO interno è coperto al più dalla polizza aziendale generica; quello esterno trasferisce parte del rischio.

Costo variabile e scalabile

Un DPO esterno costa nel 2021 italiano tra 6.000 euro/anno per PMI sotto i 30 dipendenti con trattamenti standard, fino a 25.000 euro/anno per realtà sopra i 150 dipendenti con e-commerce, marketing automation, DPIA annuali. Si negozia per ore/mese o per scope chiuso; scala su e giù con le esigenze. Sul fronte sovranità e residenza dei dati — aspetto rilevante per chi sceglie cloud provider — vedi Cloud Italia 2021: provider e sovranità dei dati.

Indipendenza formalizzata

Un consulente esterno è per definizione indipendente dal management. Non rischia il licenziamento se firma un parere sgradito. Il Garante Privacy ritiene questo aspetto più tutelante per gli interessati — pur senza imporre la scelta esterna in modo esplicito.

DPO esterno: gli svantaggi

Conoscenza limitata della specifica azienda

Il consulente esterno arriva a pacchetto: 4-8 ore/mese di presenza/call. Non vede la riunione dove si decide il prossimo segmento di profilazione. La fotografia che ha è sempre con qualche giorno di ritardo.

Response time e SLA

Un data breach richiede notifica al Garante Privacy entro 72 ore ex art. 33 GDPR. Se sei uno dei 30 clienti del DPO esterno e l’incident scoppia in agosto, il suo SLA potrebbe non bastare. Nel contratto pretendi: risposta entro 4 ore feriali, supporto h24 su incident critici, escalation path.

Dipendenza dal fornitore

Se il DPO esterno chiude lo studio, ti ritrovi a ricostruire la memoria storica. Mitigazione: clausola di handover, documentazione (ROPA, DPIA, register breach) sempre nel tuo data lake, non solo nei suoi server.

Visibilità verso i dipendenti

I dipendenti vedono il DPO esterno come figura lontana. Soluzione che funziona meglio nel 2021: DPO esterno certificato + privacy officer interno (no titolo DPO, no obbligo indipendenza) come ponte operativo.

Costi reali 2021 in Italia: benchmark da progetti

DPO interno full-time

• RAL mid-senior: 35.000-45.000 euro (3-5 anni esperienza, certificazione TÜV o UNI 11697).
• RAL senior: 45.000-55.000 euro (background legale + IT).
• Oneri datoriali: +35-40%, costo aziendale 47k-77k euro.
• Formazione: 2.000-5.000 euro/anno.
• Strumenti: software gestione privacy 1.500-4.000 euro/anno (OneTrust, TrustArc, Privacylab).
• Totale costo annuo aziendale: 50.000-86.000 euro.

DPO interno part-time

Possibile per realtà piccole. Spesso ricoperto da legal interno o dirigente HR (rischio conflitto). Costo allocato: 8.000-15.000 euro/anno al 30%.

DPO esterno per fasce dimensionali (2021)

Dimensione PMI	Complessità	Costo annuo
10-30 dipendenti	Bassa (servizi B2B standard)	6.000-9.000 €
30-80 dipendenti	Media (marketing, e-commerce)	9.000-15.000 €
80-150 dipendenti	Media-alta (DPIA annuali)	15.000-20.000 €
150-250 dipendenti	Alta (sanità, fintech)	20.000-25.000 €

Per una PMI media italiana il DPO esterno copre tipicamente: assessment iniziale, redazione/aggiornamento ROPA, DPIA sui trattamenti rischiosi, audit periodico, formazione annuale al personale, gestione data breach, response a richieste degli interessati, presenza fisica/call mensile, report annuale al titolare.

Competenze richieste: il triangolo legale-IT-organizzativo

Competenze legali

Conoscenza approfondita del GDPR, del Codice Privacy aggiornato dal D.lgs. 101/2018, delle Linee guida EDPB, della giurisprudenza italiana ed europea. Saper redigere informative, DPA, clausole contrattuali standard (SCC post Schrems II), valutazioni del legittimo interesse.

Competenze IT e cybersecurity

Capacità di leggere architetture di sistema, valutare misure di sicurezza tecniche, comprendere log e audit trail, dialogare con il CIO sull’ISO/IEC 27001, sulla pseudonimizzazione, sui controlli accessi. Bonus rilevanti nel 2021: ISO/IEC 27701 (pubblicata 2019 come estensione privacy della 27001), familiarità con la NIS direttiva del 2016 per i settori critici.

Competenze organizzative

Project management, formazione adulti, gestione incident, change management. Un DPO efficace organizza un privacy management system integrato nei processi esistenti, non un silos parallelo. La guida sicurezza informatica per PMI approfondisce il lato tecnico.

Certificazioni di riferimento (2021)

• UNI 11697:2017: norma italiana sui profili professionali privacy (DPO, Privacy Manager, Privacy Specialist).
• TÜV Italia DPO certificato: schema accreditato Accredia.
• Master DPO UNICRI: percorso accademico riconosciuto.
• CIPP/E (Certified Information Privacy Professional Europe) di IAPP: standard internazionale.
• ISO/IEC 27701 Lead Implementer: dimostra capacità di implementare un PIMS.

Decision framework: quale scegliere

Cinque variabili da valutare

1. Dimensione aziendale: sotto 50 dipendenti tipicamente esterno; sopra 250 con trattamenti core risk-intensive tipicamente interno.
2. Complessità trattamenti: e-commerce con profilazione, fintech con scoring, sanità con cartelle cliniche aumentano la frequenza di lavoro DPO.
3. Settore: sanità e fintech spingono verso interno; manifatturiero B2B sta bene con esterno.
4. Rischio sanzioni: se sei sotto i riflettori del Garante Privacy per dimensione o per data breach pregresso, l’interno full-time tutela meglio nelle interlocuzioni.
5. Budget annuo coerente: 50k+ stabili giustificano interno; budget variabile o sotto 25k giustificano esterno.

La matrice decisionale

Profilo	Scelta consigliata
PMI 10-50 dip., B2B, trattamenti standard	Esterno a canone annuale
PMI 50-150 dip., e-commerce, marketing automation	Esterno + privacy officer interno
PMI 150-250 dip., sanità o fintech	Interno full-time + studio esterno backup
Azienda >250 dip., trattamenti core	Interno con team privacy strutturato
Studio professionale, agenzia, software house	Esterno con contratto certificato

Errori comuni nella nomina del DPO

Nomina formale senza poteri reali

Il Garante Privacy nei provvedimenti 2020-2021 ha ribadito che il DPO di facciata non basta. Servono: budget formalizzato, accesso ai vertici, mansionario dettagliato, comunicazione interna, pubblicazione dati contatto sul sito (art. 37(7) GDPR), comunicazione al Garante via modulo telematico.

DPO con conflitto di interesse

Doppio cappello CIO/DPO, HR director/DPO con potere su trattamenti dipendenti, CFO/DPO che decide cessioni di crediti. L’EDPB è chiara: chi decide finalità e mezzi non può controllarsi da solo.

Isolamento dal management

Senza riporto diretto al CdA, senza presenza nelle riunioni dove si decidono nuovi trattamenti, il DPO è tagliato fuori. Decisioni che avrebbero richiesto DPIA partono senza valutazione preventiva.

ROPA non aggiornato e DPIA dimenticate

Il ROPA (art. 30 GDPR) deve essere vivo: aggiornato a ogni nuovo trattamento, revisionato annualmente. Il Garante nelle sanzioni Foodinho/Deliveroo ha esplicitamente censurato l’assenza di DPIA sull’algoritmo di rating.

Privacy by Design come post-it

L’art. 25 GDPR impone Privacy by Design e Privacy by Default fin dalla progettazione. Coinvolgere il DPO dopo che il software è in produzione è un classico errore PMI. Approfondimento in Privacy by Design: la guida 2021 al GDPR art. 25.

Caso reale: PMI lombarda sanitaria, 80 dipendenti

Cliente Brentasoft inizio 2021: 4 poliambulatori provincia di Bergamo, 80 dipendenti, 35.000 pazienti attivi, cartelle cliniche elettroniche, telemedicina post-COVID. Trattamento di dati particolari su larga scala (art. 9 GDPR) — DPO obbligatorio.

Le opzioni valutate

• DPO interno full-time: 55.000 RAL + oneri = 77.000/anno + 4.000 formazione + 3.000 software = 84.000 euro.
• DPO esterno solo: studio specializzato sanità, 18.000 euro/anno. Rischio: response time su incident notturni.
• DPO esterno + privacy officer interno: 18.000 esterno + 12.000 differenziale stipendio privacy officer (HR formato 1-2 giorni/mese) = 30.000 euro.

La scelta

Scelta finale: DPO esterno + privacy officer interno. Il privacy officer (no titolo DPO formale) coordina day-by-day richieste interessati, triage breach, formazione di base. Il DPO esterno certificato (UNI 11697 + master sanità) presidia decisioni rilevanti, rapporti col Garante, audit annuale, polizza 3 milioni.

Risultati a 12 mesi

• Notifica primo breach al Garante Privacy in 14 ore.
• Tre richieste interessati art. 15 GDPR gestite in 5 giorni medi.
• Due DPIA chiuse (telemedicina + appuntamenti) senza obiezioni Garante.
• Costo totale anno 1: 32.000 euro (vs 84k interno), risparmio 52.000 euro investiti in sicurezza tecnica (segmentazione rete, MFA, backup offsite).

Roadmap di nomina DPO in 60 giorni

Settimane 1-2: assessment obbligo e perimetro

Verifica se rientri nelle ipotesi art. 37 GDPR. Inventario di tutti i trattamenti, redazione di un ROPA preliminare se assente. Stima del volume di DPIA necessarie nei prossimi 12 mesi. Output documentale: assessment formale con esito obbligo sì/no e perimetro di lavoro DPO. Stakeholder coinvolti: titolare, legale interno, IT manager.

Settimane 3-4: decisione interno vs esterno e budget

Applica la matrice decisionale sulle cinque variabili (dimensione, complessità, settore, rischio, budget). Definisci scope contrattuale: ore/mese di presenza, deliverable annuali (ROPA, DPIA, audit, formazione), SLA risposta (es. 4 ore feriali, h24 su breach critici), modalità gestione incident, programma formazione personale. Approva il budget annuale formalmente dal CdA o titolare.

Settimane 5-6: selezione e contratto

Per il DPO esterno: short list di 3-5 candidati, verifica certificazioni (UNI 11697:2017 o TÜV o IAPP), esperienza nel settore, polizza professionale con massimale congruo, almeno 3 referenze cliente attive. Contratto scritto con scope, SLA, polizza, clausola handover (cosa succede se cessa il rapporto), riservatezza, durata e recesso. Per il DPO interno: lettera di incarico ex art. 38 GDPR con indipendenza, accesso ai vertici, risorse, dichiarazione di assenza conflitto di interesse, mansionario.

Settimane 7-8: comunicazione e go-live

Comunicazione interna al personale e ai responsabili del trattamento (chi è il DPO, come si contatta, per cosa). Pubblicazione dei dati di contatto sul sito ex art. 37(7) GDPR. Comunicazione formale al Garante Privacy tramite il modulo telematico di nomina. Onboarding DPO con sessione di kickoff su ROPA, sistemi IT, processi aziendali, incident response plan. Calendar fissato per audit periodico (trimestrale o quadrimestrale a seconda del rischio).

Domande frequenti

Una PMI con 30 dipendenti deve nominare il DPO?

Non automaticamente. La nomina è obbligatoria solo se l’attività ricade in una delle tre ipotesi dell’art. 37 GDPR: autorità pubblica, monitoraggio sistematico su larga scala, trattamento su larga scala di dati particolari. Una PMI B2B con 30 dipendenti che vende software gestionali non è obbligata, ma può nominare un DPO volontariamente per gestire meglio i rapporti contrattuali con i clienti enterprise.

Posso nominare DPO il mio responsabile IT?

Sconsigliato. L’EDPB ha esplicitamente ritenuto che il responsabile IT con potere decisionale sui sistemi di trattamento sia in conflitto di interesse strutturale rispetto al ruolo di DPO. Il Tribunale di Hannover nel 2019 ha confermato la sanzione. Se sei una PMI piccola e devi internalizzare, valuta un profilo legale o un dirigente HR senza potere decisionale sui trattamenti.

Quanto tempo dedica un DPO esterno a una PMI media?

Tipicamente 4-16 ore/mese a seconda della complessità. Una PMI manifatturiera 60 dipendenti con e-commerce basico: 4-6 ore/mese. Una clinica privata 80 dipendenti con telemedicina: 12-16 ore/mese. Aggiungi DPIA progettuali (8-20 ore una tantum) e audit annuale (8-16 ore). Il contratto deve esplicitare il monte ore incluso e il costo dell’overflow.

Se nomino un DPO esterno devo comunicarlo al Garante Privacy?

Sì, è obbligatorio sia per il DPO esterno che interno. La comunicazione avviene via modulo telematico sul sito del Garante Privacy indicando: dati identificativi del DPO, recapiti (email, telefono, indirizzo), il fatto che è interno o esterno. La mancata comunicazione è una violazione formale sanzionabile, anche se non grave.

Il DPO è responsabile in caso di sanzione GDPR?

No, la responsabilità del trattamento resta in capo al titolare (e al responsabile esterno per la sua quota). Il DPO è un consulente, non un sostituto del titolare. Tuttavia il DPO esterno con polizza professionale risponde per dolo o colpa grave nello svolgimento dell’incarico: tipicamente errori macroscopici di valutazione, pareri palesemente errati, omessa segnalazione di rischi gravi al titolare.

Posso licenziare il DPO se non sono soddisfatto?

Per il DPO interno, l’art. 38(3) GDPR vieta il licenziamento o le sanzioni per i compiti svolti come DPO. Resta possibile il licenziamento per giusta causa indipendente (es. furto, gravi inadempimenti contrattuali estranei al ruolo DPO). Per il DPO esterno, il contratto può prevedere recesso ordinario con preavviso e clausole di non sostituzione "ritorsiva".

Cosa cambia se la mia PMI ha sede in altri paesi UE?

Se hai stabilimento secondario in Francia (CNIL), Spagna (AEPD) o Austria (DSB), valgono le regole DPO nazionali con piccole varianti. La CNIL applica un’interpretazione restrittiva del "large scale", l’AEPD ha una lista positiva di settori con DPO obbligatorio. Un DPO esterno con esperienza multi-paese aiuta a coordinare le posizioni delle diverse autorità.