{"id":1413,"date":"2021-09-13T11:17:00","date_gmt":"2021-09-13T09:17:00","guid":{"rendered":"https:\/\/brentasoft.com\/blog\/dpo-interno-vs-esterno-pmi-2021\/"},"modified":"2026-06-03T15:58:28","modified_gmt":"2026-06-03T13:58:28","slug":"dpo-interno-vs-esterno-pmi-2021","status":"publish","type":"post","link":"https:\/\/brentasoft.com\/blog\/dpo-interno-vs-esterno-pmi-2021\/","title":{"rendered":"DPO interno vs esterno: quale scegliere per la tua PMI (2021)"},"content":{"rendered":"<div class=\"tldr-box\" style=\"background:#f0f9ff;border-left:4px solid #0284c7;padding:18px 22px;margin:24px 0;border-radius:6px;\">\n<p><strong>TL;DR &mdash; DPO interno o esterno per la tua PMI?<\/strong><\/p>\n<ul>\n<li><strong>Obbligo<\/strong>: il <strong>DPO<\/strong> &egrave; obbligatorio solo per autorit&agrave; pubbliche, soggetti che fanno <strong>large scale monitoring<\/strong> (es. monitoraggio sistematico clienti) o trattamento su larga scala di <strong>dati particolari<\/strong> (sanitari, biometrici, giudiziari). Lo stabilisce l&#8217;<strong>art. 37 GDPR<\/strong>.<\/li>\n<li><strong>DPO interno<\/strong>: conviene con &gt;200 dipendenti, trattamenti continui, budget annuo coerente. Costo full-time tra <strong>35.000 e 55.000 euro<\/strong> lordi\/anno + <strong>2-5k formazione<\/strong>.<\/li>\n<li><strong>DPO esterno<\/strong>: ottimale per PMI 20-200 dipendenti, settori a media complessit&agrave;, esigenza di specializzazione. Costo annuo tipico tra <strong>6.000 e 25.000 euro<\/strong>, con polizza assicurativa inclusa.<\/li>\n<li><strong>Errore pi&ugrave; comune<\/strong>: nominare il DPO senza dargli budget, accesso al management e indipendenza decisionale. L&#8217;<strong>EDPB<\/strong> e il <strong>Garante Privacy<\/strong> sanzionano il DPO &#8220;di facciata&#8221;.<\/li>\n<li><strong>Per una PMI italiana media<\/strong> (50-150 dipendenti) la scelta vincente nel 2021 &egrave; <strong>DPO esterno certificato<\/strong> + <strong>privacy officer interno<\/strong> come punto di contatto operativo.<\/li>\n<\/ul>\n<\/div>\n<h2 id=\"contesto-2021\">Il contesto 2021: tre anni di GDPR e una stagione di sanzioni<\/h2>\n<p>Il <strong>GDPR<\/strong> &egrave; in vigore dal <strong>25 maggio 2018<\/strong>: nel <strong>2021<\/strong> abbiamo gi&agrave; tre anni di enforcement reale alle spalle, e le sanzioni hanno smesso di essere un&#8217;ipotesi accademica. Il <strong>Garante Privacy<\/strong> italiano ha chiuso il 2020 con la multa da <strong>27,8 milioni di euro a Vodafone Italia<\/strong> (telemarketing aggressivo, listini ceduti senza base giuridica) e nel luglio <strong>2021<\/strong> ha colpito due piattaforme di food delivery: <strong>2,6 milioni a Foodinho\/Glovo<\/strong> e <strong>2,5 milioni a Deliveroo Italia<\/strong> per algoritmi opachi di rating rider, profilazione automatica e mancata <strong>DPIA<\/strong>. A livello europeo l&#8217;<strong>EDPB<\/strong> ha confermato che il commissionario di trattamento e il <strong>DPO<\/strong> sono soggetti sotto osservazione costante.<\/p>\n<p>In questo scenario la PMI italiana scopre che &quot;avere un <strong>DPO<\/strong>&quot; non &egrave; pi&ugrave; una scelta cosmetica. Il problema operativo, per&ograve;, rimane: il titolare medio sotto i 250 dipendenti non sa se sia <em>obbligato<\/em> a nominarlo (l&#8217;<strong>art. 37 GDPR<\/strong> usa criteri qualitativi, non un soglia per dimensione), e una volta deciso che gli conviene farlo, non sa se internalizzare o affidarsi a un consulente esterno.<\/p>\n<p>Questa guida risponde a tre domande nette: <em>il mio caso ricade negli obblighi legali?<\/em>, <em>quanto costa davvero un DPO nel 2021 in Italia?<\/em>, <em>interno o esterno?<\/em>. Trovi un decision framework, un budget benchmark da consulenze reali, gli errori che il <strong>Garante Privacy<\/strong> ha gi&agrave; sanzionato e una roadmap di nomina in <strong>60 giorni<\/strong> con schema HowTo. Approfondimento di sistema in <a href=\"https:\/\/brentasoft.com\/blog\/gdpr-aziendale-guida-pmi-2021\/\">GDPR aziendale: guida pratica 2021 per PMI<\/a>.<\/p>\n<h2 id=\"cosa-e-dpo\">Cos&#8217;&egrave; il DPO (Data Protection Officer): art. 37-39 GDPR<\/h2>\n<p>Il <strong>DPO<\/strong> &mdash; in italiano <em>Responsabile della Protezione dei Dati<\/em> &mdash; &egrave; la figura introdotta dagli articoli <strong>37, 38 e 39 del GDPR<\/strong> (Regolamento UE 2016\/679) con tre compiti principali: <em>informare e consigliare<\/em> titolare e dipendenti sugli obblighi privacy, <em>sorvegliare<\/em> l&#8217;applicazione del Regolamento e delle politiche interne, e <em>cooperare<\/em> con l&#8217;autorit&agrave; di controllo (in Italia, il <strong>Garante Privacy<\/strong>).<\/p>\n<h3>Le caratteristiche obbligatorie<\/h3>\n<p>Il <strong>DPO<\/strong> non &egrave; un consulente generico. La normativa richiede:<\/p>\n<ul>\n<li><strong>Competenza specialistica<\/strong> in diritto e prassi privacy (art. 37(5)), proporzionata al rischio dei trattamenti.<\/li>\n<li><strong>Indipendenza<\/strong>: il titolare non pu&ograve; dargli istruzioni operative sui suoi compiti (art. 38(3)), n&eacute; sanzionarlo per le opinioni espresse.<\/li>\n<li><strong>Accesso diretto al vertice<\/strong>: riferisce al <em>top management<\/em>, non a un dirigente intermedio.<\/li>\n<li><strong>Risorse<\/strong>: tempo, budget, accesso a dati e processi, formazione continua.<\/li>\n<li><strong>Assenza di conflitto di interesse<\/strong>: non pu&ograve; ricoprire ruoli che decidano finalit&agrave; e mezzi del trattamento (CIO, CMO, HR director con potere decisionale sui dati).<\/li>\n<\/ul>\n<p>L&#8217;<strong>EDPB<\/strong> nelle sue <em>Guidelines on Data Protection Officers<\/em> (WP243 rev.01, 2017) ha chiarito che ricoprire <em>contemporaneamente<\/em> il ruolo di responsabile IT e <strong>DPO<\/strong> &egrave; un conflitto di interesse strutturale. La stessa posizione &egrave; stata ribadita dalla <strong>DSB<\/strong> austriaca (decisione 2020) e dal Tribunale di Hannover (2019) che ha multato un&#8217;azienda per nomina con conflitto.<\/p>\n<p>Nel concreto un <strong>DPO<\/strong> esegue ogni mese: audit trattamenti e aggiornamento del <strong>ROPA<\/strong> (<em>Records of Processing Activities<\/em>, art. 30), revisione delle <strong>DPIA<\/strong> per i trattamenti ad alto rischio, formazione, gestione dei <em>data breach<\/em> (notifica entro <strong>72 ore<\/strong> al <strong>Garante Privacy<\/strong> ex art. 33), risposta a richieste degli interessati (artt. 15-22), liaison con responsabili esterni.<\/p>\n<h2 id=\"quando-obbligatorio\">Quando il DPO &egrave; obbligatorio per legge<\/h2>\n<p>L&#8217;<strong>art. 37(1) GDPR<\/strong> elenca tre ipotesi di obbligo:<\/p>\n<h3>1) Autorit&agrave; pubblica o organismo pubblico<\/h3>\n<p>Comuni, ASL, scuole, universit&agrave;, agenzie statali, in house providing pubblico: obbligo automatico. Anche le partecipate pubbliche che trattano dati in funzione del servizio pubblico rientrano qui. Il Codice Privacy italiano aggiornato dal <strong>D.lgs. 101\/2018<\/strong> ha confermato questa lettura.<\/p>\n<h3>2) Large scale monitoring of data subjects<\/h3>\n<p>Monitoraggio sistematico, regolare e su <em>larga scala<\/em> degli interessati come <em>core activity<\/em>. Esempi tipici 2021: piattaforme di adv programmatic, telco con profilazione marketing, video sorveglianza urbana, fidelity card retail con tracking comportamentale, piattaforme fintech con scoring automatizzato, IoT con telemetria utenti. L&#8217;<strong>EDPB<\/strong> usa quattro indicatori per &quot;larga scala&quot;: numero di interessati, volume dati, durata, estensione geografica.<\/p>\n<h3>3) Large scale special data<\/h3>\n<p>Trattamento su larga scala di <strong>dati particolari<\/strong> (art. 9: salute, biometrici, genetici, origine razziale\/etnica, opinioni politiche, fede religiosa, dati sessuali) o di dati relativi a condanne (art. 10). Cliniche private medio-grandi, laboratori analisi, RSA, software house verticali per la sanit&agrave;, piattaforme di telemedicina, security companies con riconoscimento facciale.<\/p>\n<h3>L&#8217;art. 37(4) e la chance del DPO volontario<\/h3>\n<p>Anche fuori da queste ipotesi, l&#8217;<strong>art. 37(4) GDPR<\/strong> permette la nomina volontaria. Una volta nominato, anche se volontario, il <strong>DPO<\/strong> &egrave; soggetto a <em>tutti<\/em> gli obblighi degli artt. 38-39: indipendenza, risorse, segreto professionale. Non si pu&ograve; nominare un &quot;<strong>DPO<\/strong> light&quot;.<\/p>\n<h2 id=\"dpo-consigliato\">Quando il DPO &egrave; fortemente consigliato anche se non obbligatorio<\/h2>\n<p>Tra l&#8217;obbligo legale e l&#8217;irrilevanza c&#8217;&egrave; una grande zona grigia in cui per la PMI il <strong>DPO<\/strong> &egrave; comunque <em>la scelta di governance<\/em>, anche senza obbligo formale.<\/p>\n<h3>Caso 1: e-commerce e marketing data-driven<\/h3>\n<p>PMI con 50.000+ utenti registrati, email marketing, profilazione comportamentale, retargeting Facebook Ads. Anche se non &egrave; &quot;monitoraggio sistematico&quot; in senso stretto, l&#8217;esposizione al rischio sanzioni cresce col volume.<\/p>\n<h3>Caso 2: settori regolamentati senza obbligo<\/h3>\n<p>Studi legali, commercialisti, agenzie di selezione personale (dati art. 10), agenzie immobiliari. Non sempre obbligati per dimensione, ma trattano dati di terzi sotto vincolo deontologico stringente.<\/p>\n<h3>Caso 3: software house B2B<\/h3>\n<p>Chi fornisce <strong>CRM<\/strong> o <strong>ERP<\/strong> a centinaia di clienti diventa <em>responsabile del trattamento<\/em>. Il <strong>DPO<\/strong> qui &egrave; spesso richiesto contrattualmente come prerequisito per firmare la <em>DPA<\/em> (Data Processing Agreement) &mdash; segnale di maturit&agrave; che gli enterprise customer cercano.<\/p>\n<h3>Caso 4: piano di internazionalizzazione UE<\/h3>\n<p>PMI che vendono cross-border in UE: <strong>CNIL<\/strong> francese, <strong>AEPD<\/strong> spagnola, <strong>DSB<\/strong> austriaca hanno interpretazioni leggermente diverse sull&#8217;obbligo. Avere un <strong>DPO<\/strong> riduce il rischio di contenzioso multi-paese. Per chi gestisce dati anche fuori dal contesto sanit&agrave;\/fintech vale la pena leggere la <a href=\"https:\/\/brentasoft.com\/blog\/nis-direttiva-cybersecurity-2021\/\">guida alla NIS Directive cybersecurity 2021<\/a> che incrocia gli obblighi privacy con quelli di sicurezza dei servizi essenziali.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/09\/dpo-interno-vs-esterno-pmi-2021-data-protection.jpg\" alt=\"Concetto astratto di protezione dati GDPR con lucchetto digitale e dispositivo\" title=\"Data protection nelle PMI: il DPO presidia la sicurezza dei dati personali\" loading=\"lazy\" \/><\/p>\n<h2 id=\"dpo-interno-vantaggi\">DPO interno: i vantaggi reali<\/h2>\n<h3>Conoscenza profonda dei processi<\/h3>\n<p>Un <strong>DPO<\/strong> dipendente vive in azienda: conosce il flusso ordine-fatturazione, come l&#8217;HR archivia i CV, come il marketing usa il CRM. Per redigere un <strong>ROPA<\/strong> non servono interviste lunghe: ha la mappa mentale dei trattamenti.<\/p>\n<h3>Presenza fisica e accessibilit&agrave;<\/h3>\n<p>Il dipendente con una segnalazione su un consenso bussa alla scrivania. Il commerciale chiede in pausa caff&egrave; se pu&ograve; mandare la newsletter. Questa &quot;frizione bassa&quot; aumenta la compliance reale.<\/p>\n<h3>Costo annuo prevedibile<\/h3>\n<p>Un <strong>DPO<\/strong> interno full-time mid-senior costa nel 2021 italiano tra <strong>35.000 e 55.000 euro<\/strong> RAL. Aggiungi <strong>2.000-5.000 euro<\/strong>\/anno di formazione (master DPO UNICRI, corsi <strong>ISO\/IEC 27701<\/strong>, aggiornamenti EDPB) e oneri datoriali. Costo piatto: non cresce con incidenti o richieste interessati.<\/p>\n<h2 id=\"dpo-interno-svantaggi\">DPO interno: gli svantaggi<\/h2>\n<h3>Conflitto di interesse strutturale<\/h3>\n<p>Pochi candidati interni sono davvero indipendenti. Il direttore IT con doppio cappello <strong>DPO<\/strong> &egrave; il caso pi&ugrave; sanzionato. L&#8217;<strong>EDPB<\/strong> nelle Guidelines DPO: chi decide finalit&agrave; e mezzi non pu&ograve; essere DPO. Casi sanzionati in Belgio, Germania, Spagna 2020-2021.<\/p>\n<h3>Specializzazione legale limitata<\/h3>\n<p>Un <strong>DPO<\/strong> serio segue <strong>EDPB Guidelines<\/strong>, decisioni del <strong>Garante Privacy<\/strong>, sentenze CGUE (Schrems II del luglio 2020 ha rivoluzionato i trasferimenti extra-UE). Un singolo professionista interno fa fatica a tenere il passo come un team.<\/p>\n<h3>Formazione continua a carico azienda<\/h3>\n<p>Il <strong>DPO<\/strong> interno richiede master annuali, certificazioni (<strong>T\u00dcV<\/strong>, <strong>UNI 11697:2017<\/strong>), conferenze. Se l&#8217;azienda taglia il budget formazione, in 12 mesi il DPO &egrave; tecnicamente obsoleto.<\/p>\n<h3>Isolamento e marginalizzazione<\/h3>\n<p>Un <strong>DPO<\/strong> interno che dice troppi &quot;no&quot; al commerciale rischia di essere ignorato. Il <strong>Garante Privacy<\/strong> nella decisione Foodinho (luglio 2021) ha esplicitamente censurato l&#8217;isolamento del DPO dai processi decisionali algoritmici.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/09\/dpo-interno-vs-esterno-pmi-2021-boardroom.jpg\" alt=\"Riunione del board con DPO interno che illustra rischio privacy ai dirigenti aziendali\" title=\"DPO interno in riunione di management: vantaggio conoscenza, rischio isolamento\" loading=\"lazy\" \/><\/p>\n<h2 id=\"dpo-esterno-vantaggi\">DPO esterno: i vantaggi<\/h2>\n<h3>Specializzazione e team di backoffice<\/h3>\n<p>Un <strong>DPO<\/strong> esterno serio non &egrave; un consulente solitario: dietro c&#8217;&egrave; uno studio con avvocati privacy, esperti tecnici, formatori. Una <strong>DPIA<\/strong> complessa la fa il team, non la singola persona. Le ultime novit&agrave; <strong>EDPB<\/strong> arrivano via newsletter interna prima che escano sulla stampa specializzata.<\/p>\n<h3>Esperienza multi-cliente come acceleratore<\/h3>\n<p>Il <strong>DPO<\/strong> esterno che segue 15-30 clienti vede pattern che il singolo titolare non vede: il classico errore sul consenso nel form contatti, l&#8217;incident type ricorrente, la clausola DPA che non regge in giudizio. Porta in casa best practice maturate fuori.<\/p>\n<h3>Copertura assicurativa<\/h3>\n<p>Gli studi seri sottoscrivono <em>polizza professionale<\/em> con massimali da 1-5 milioni di euro che copre errori, omissioni e responsabilit&agrave;. Un <strong>DPO<\/strong> interno &egrave; coperto al pi&ugrave; dalla polizza aziendale generica; quello esterno trasferisce parte del rischio.<\/p>\n<h3>Costo variabile e scalabile<\/h3>\n<p>Un <strong>DPO<\/strong> esterno costa nel 2021 italiano tra <strong>6.000 euro<\/strong>\/anno per PMI sotto i 30 dipendenti con trattamenti standard, fino a <strong>25.000 euro<\/strong>\/anno per realt&agrave; sopra i 150 dipendenti con e-commerce, marketing automation, <strong>DPIA<\/strong> annuali. Si negozia per ore\/mese o per scope chiuso; scala su e gi&ugrave; con le esigenze. Sul fronte sovranit&agrave; e residenza dei dati &mdash; aspetto rilevante per chi sceglie cloud provider &mdash; vedi <a href=\"https:\/\/brentasoft.com\/blog\/cloud-italia-provider-sovranita-2021\/\">Cloud Italia 2021: provider e sovranit&agrave; dei dati<\/a>.<\/p>\n<h3>Indipendenza formalizzata<\/h3>\n<p>Un consulente esterno &egrave; per definizione indipendente dal management. Non rischia il licenziamento se firma un parere sgradito. Il <strong>Garante Privacy<\/strong> ritiene questo aspetto pi&ugrave; tutelante per gli interessati &mdash; pur senza imporre la scelta esterna in modo esplicito.<\/p>\n<h2 id=\"dpo-esterno-svantaggi\">DPO esterno: gli svantaggi<\/h2>\n<h3>Conoscenza limitata della specifica azienda<\/h3>\n<p>Il consulente esterno arriva a pacchetto: 4-8 ore\/mese di presenza\/call. Non vede la riunione dove si decide il prossimo segmento di profilazione. La fotografia che ha &egrave; sempre con qualche giorno di ritardo.<\/p>\n<h3>Response time e SLA<\/h3>\n<p>Un <strong>data breach<\/strong> richiede notifica al <strong>Garante Privacy<\/strong> entro <strong>72 ore<\/strong> ex art. 33 GDPR. Se sei uno dei 30 clienti del DPO esterno e l&#8217;incident scoppia in agosto, il suo SLA potrebbe non bastare. Nel contratto pretendi: risposta entro 4 ore feriali, supporto h24 su incident <em>critici<\/em>, escalation path.<\/p>\n<h3>Dipendenza dal fornitore<\/h3>\n<p>Se il <strong>DPO<\/strong> esterno chiude lo studio, ti ritrovi a ricostruire la memoria storica. Mitigazione: clausola di handover, documentazione (ROPA, DPIA, register breach) sempre nel tuo data lake, non solo nei suoi server.<\/p>\n<h3>Visibilit&agrave; verso i dipendenti<\/h3>\n<p>I dipendenti vedono il <strong>DPO<\/strong> esterno come figura lontana. Soluzione che funziona meglio nel 2021: <strong>DPO esterno<\/strong> certificato + <strong>privacy officer interno<\/strong> (no titolo DPO, no obbligo indipendenza) come ponte operativo.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/09\/dpo-interno-vs-esterno-pmi-2021-consulente-esterno.jpg\" alt=\"Consulente DPO esterno con tablet che spiega adempimenti GDPR al cliente PMI\" title=\"DPO esterno con tablet: specializzazione, indipendenza, costo variabile\" loading=\"lazy\" \/><\/p>\n<h2 id=\"costi-2021\">Costi reali 2021 in Italia: benchmark da progetti<\/h2>\n<h3>DPO interno full-time<\/h3>\n<ul>\n<li><strong>RAL mid-senior<\/strong>: 35.000-45.000 euro (3-5 anni esperienza, certificazione T\u00dcV o UNI 11697).<\/li>\n<li><strong>RAL senior<\/strong>: 45.000-55.000 euro (background legale + IT).<\/li>\n<li><strong>Oneri datoriali<\/strong>: +35-40%, costo aziendale 47k-77k euro.<\/li>\n<li><strong>Formazione<\/strong>: 2.000-5.000 euro\/anno.<\/li>\n<li><strong>Strumenti<\/strong>: software gestione privacy 1.500-4.000 euro\/anno (OneTrust, TrustArc, Privacylab).<\/li>\n<li><strong>Totale costo annuo aziendale<\/strong>: <strong>50.000-86.000 euro<\/strong>.<\/li>\n<\/ul>\n<h3>DPO interno part-time<\/h3>\n<p>Possibile per realt&agrave; piccole. Spesso ricoperto da legal interno o dirigente HR (rischio conflitto). Costo allocato: 8.000-15.000 euro\/anno al 30%.<\/p>\n<h3>DPO esterno per fasce dimensionali (2021)<\/h3>\n<table style=\"width:100%;border-collapse:collapse;margin:18px 0;\">\n<thead style=\"background:#f1f5f9;\">\n<tr>\n<th style=\"padding:10px;border:1px solid #e2e8f0;text-align:left;\">Dimensione PMI<\/th>\n<th style=\"padding:10px;border:1px solid #e2e8f0;text-align:left;\">Complessit&agrave;<\/th>\n<th style=\"padding:10px;border:1px solid #e2e8f0;text-align:left;\">Costo annuo<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td style=\"padding:10px;border:1px solid #e2e8f0;\">10-30 dipendenti<\/td>\n<td style=\"padding:10px;border:1px solid #e2e8f0;\">Bassa (servizi B2B standard)<\/td>\n<td style=\"padding:10px;border:1px solid #e2e8f0;\"><strong>6.000-9.000 &euro;<\/strong><\/td>\n<\/tr>\n<tr>\n<td style=\"padding:10px;border:1px solid #e2e8f0;\">30-80 dipendenti<\/td>\n<td style=\"padding:10px;border:1px solid #e2e8f0;\">Media (marketing, e-commerce)<\/td>\n<td style=\"padding:10px;border:1px solid #e2e8f0;\"><strong>9.000-15.000 &euro;<\/strong><\/td>\n<\/tr>\n<tr>\n<td style=\"padding:10px;border:1px solid #e2e8f0;\">80-150 dipendenti<\/td>\n<td style=\"padding:10px;border:1px solid #e2e8f0;\">Media-alta (DPIA annuali)<\/td>\n<td style=\"padding:10px;border:1px solid #e2e8f0;\"><strong>15.000-20.000 &euro;<\/strong><\/td>\n<\/tr>\n<tr>\n<td style=\"padding:10px;border:1px solid #e2e8f0;\">150-250 dipendenti<\/td>\n<td style=\"padding:10px;border:1px solid #e2e8f0;\">Alta (sanit&agrave;, fintech)<\/td>\n<td style=\"padding:10px;border:1px solid #e2e8f0;\"><strong>20.000-25.000 &euro;<\/strong><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Per una PMI media italiana il <strong>DPO<\/strong> esterno copre tipicamente: assessment iniziale, redazione\/aggiornamento <strong>ROPA<\/strong>, <strong>DPIA<\/strong> sui trattamenti rischiosi, audit periodico, formazione annuale al personale, gestione data breach, response a richieste degli interessati, presenza fisica\/call mensile, report annuale al titolare.<\/p>\n<h2 id=\"competenze\">Competenze richieste: il triangolo legale-IT-organizzativo<\/h2>\n<h3>Competenze legali<\/h3>\n<p>Conoscenza approfondita del <strong>GDPR<\/strong>, del Codice Privacy aggiornato dal <strong>D.lgs. 101\/2018<\/strong>, delle Linee guida <strong>EDPB<\/strong>, della giurisprudenza italiana ed europea. Saper redigere informative, DPA, clausole contrattuali standard (SCC post Schrems II), valutazioni del legittimo interesse.<\/p>\n<h3>Competenze IT e cybersecurity<\/h3>\n<p>Capacit&agrave; di leggere architetture di sistema, valutare misure di sicurezza tecniche, comprendere log e <em>audit trail<\/em>, dialogare con il CIO sull&#8217;<strong>ISO\/IEC 27001<\/strong>, sulla pseudonimizzazione, sui controlli accessi. Bonus rilevanti nel 2021: <strong>ISO\/IEC 27701<\/strong> (pubblicata 2019 come estensione privacy della 27001), familiarit&agrave; con la <strong>NIS<\/strong> direttiva del 2016 per i settori critici.<\/p>\n<h3>Competenze organizzative<\/h3>\n<p>Project management, formazione adulti, gestione incident, change management. Un <strong>DPO<\/strong> efficace organizza un <em>privacy management system<\/em> integrato nei processi esistenti, non un silos parallelo. La <a href=\"https:\/\/brentasoft.com\/blog\/sicurezza-informatica-pmi-guida-2021\/\">guida sicurezza informatica per PMI<\/a> approfondisce il lato tecnico.<\/p>\n<h3>Certificazioni di riferimento (2021)<\/h3>\n<ul>\n<li><strong>UNI 11697:2017<\/strong>: norma italiana sui profili professionali privacy (DPO, Privacy Manager, Privacy Specialist).<\/li>\n<li><strong>T\u00dcV Italia DPO certificato<\/strong>: schema accreditato Accredia.<\/li>\n<li><strong>Master DPO UNICRI<\/strong>: percorso accademico riconosciuto.<\/li>\n<li><strong>CIPP\/E<\/strong> (Certified Information Privacy Professional Europe) di IAPP: standard internazionale.<\/li>\n<li><strong>ISO\/IEC 27701 Lead Implementer<\/strong>: dimostra capacit&agrave; di implementare un PIMS.<\/li>\n<\/ul>\n<h2 id=\"decision-framework\">Decision framework: quale scegliere<\/h2>\n<h3>Cinque variabili da valutare<\/h3>\n<ol>\n<li><strong>Dimensione aziendale<\/strong>: sotto 50 dipendenti tipicamente esterno; sopra 250 con trattamenti core risk-intensive tipicamente interno.<\/li>\n<li><strong>Complessit&agrave; trattamenti<\/strong>: e-commerce con profilazione, fintech con scoring, sanit&agrave; con cartelle cliniche aumentano la frequenza di lavoro DPO.<\/li>\n<li><strong>Settore<\/strong>: sanit&agrave; e fintech spingono verso interno; manifatturiero B2B sta bene con esterno.<\/li>\n<li><strong>Rischio sanzioni<\/strong>: se sei sotto i riflettori del <strong>Garante Privacy<\/strong> per dimensione o per data breach pregresso, l&#8217;interno full-time tutela meglio nelle interlocuzioni.<\/li>\n<li><strong>Budget annuo coerente<\/strong>: 50k+ stabili giustificano interno; budget variabile o sotto 25k giustificano esterno.<\/li>\n<\/ol>\n<h3>La matrice decisionale<\/h3>\n<table style=\"width:100%;border-collapse:collapse;margin:18px 0;\">\n<thead style=\"background:#f1f5f9;\">\n<tr>\n<th style=\"padding:10px;border:1px solid #e2e8f0;\">Profilo<\/th>\n<th style=\"padding:10px;border:1px solid #e2e8f0;\">Scelta consigliata<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td style=\"padding:10px;border:1px solid #e2e8f0;\">PMI 10-50 dip., B2B, trattamenti standard<\/td>\n<td style=\"padding:10px;border:1px solid #e2e8f0;\"><strong>Esterno<\/strong> a canone annuale<\/td>\n<\/tr>\n<tr>\n<td style=\"padding:10px;border:1px solid #e2e8f0;\">PMI 50-150 dip., e-commerce, marketing automation<\/td>\n<td style=\"padding:10px;border:1px solid #e2e8f0;\"><strong>Esterno + privacy officer interno<\/strong><\/td>\n<\/tr>\n<tr>\n<td style=\"padding:10px;border:1px solid #e2e8f0;\">PMI 150-250 dip., sanit&agrave; o fintech<\/td>\n<td style=\"padding:10px;border:1px solid #e2e8f0;\">Interno full-time + studio esterno backup<\/td>\n<\/tr>\n<tr>\n<td style=\"padding:10px;border:1px solid #e2e8f0;\">Azienda &gt;250 dip., trattamenti core<\/td>\n<td style=\"padding:10px;border:1px solid #e2e8f0;\"><strong>Interno<\/strong> con team privacy strutturato<\/td>\n<\/tr>\n<tr>\n<td style=\"padding:10px;border:1px solid #e2e8f0;\">Studio professionale, agenzia, software house<\/td>\n<td style=\"padding:10px;border:1px solid #e2e8f0;\"><strong>Esterno<\/strong> con contratto certificato<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2 id=\"errori-comuni\">Errori comuni nella nomina del DPO<\/h2>\n<h3>Nomina formale senza poteri reali<\/h3>\n<p>Il <strong>Garante Privacy<\/strong> nei provvedimenti 2020-2021 ha ribadito che il <strong>DPO<\/strong> di facciata non basta. Servono: budget formalizzato, accesso ai vertici, mansionario dettagliato, comunicazione interna, pubblicazione dati contatto sul sito (art. 37(7) GDPR), comunicazione al <strong>Garante<\/strong> via modulo telematico.<\/p>\n<h3>DPO con conflitto di interesse<\/h3>\n<p>Doppio cappello CIO\/DPO, HR director\/DPO con potere su trattamenti dipendenti, CFO\/DPO che decide cessioni di crediti. L&#8217;<strong>EDPB<\/strong> &egrave; chiara: chi decide finalit&agrave; e mezzi non pu&ograve; controllarsi da solo.<\/p>\n<h3>Isolamento dal management<\/h3>\n<p>Senza riporto diretto al CdA, senza presenza nelle riunioni dove si decidono nuovi trattamenti, il <strong>DPO<\/strong> &egrave; tagliato fuori. Decisioni che avrebbero richiesto <strong>DPIA<\/strong> partono senza valutazione preventiva.<\/p>\n<h3>ROPA non aggiornato e DPIA dimenticate<\/h3>\n<p>Il <strong>ROPA<\/strong> (art. 30 GDPR) deve essere vivo: aggiornato a ogni nuovo trattamento, revisionato annualmente. Il <strong>Garante<\/strong> nelle sanzioni Foodinho\/Deliveroo ha esplicitamente censurato l&#8217;assenza di <strong>DPIA<\/strong> sull&#8217;algoritmo di rating.<\/p>\n<h3>Privacy by Design come post-it<\/h3>\n<p>L&#8217;art. 25 GDPR impone <strong>Privacy by Design<\/strong> e <strong>Privacy by Default<\/strong> fin dalla progettazione. Coinvolgere il <strong>DPO<\/strong> dopo che il software &egrave; in produzione &egrave; un classico errore PMI. Approfondimento in <a href=\"https:\/\/brentasoft.com\/blog\/privacy-by-design-gdpr-guida-2021\/\">Privacy by Design: la guida 2021 al GDPR art. 25<\/a>.<\/p>\n<h2 id=\"caso-reale\">Caso reale: PMI lombarda sanitaria, 80 dipendenti<\/h2>\n<p>Cliente Brentasoft inizio 2021: 4 poliambulatori provincia di Bergamo, 80 dipendenti, 35.000 pazienti attivi, cartelle cliniche elettroniche, telemedicina post-COVID. Trattamento di <strong>dati particolari<\/strong> su larga scala (art. 9 GDPR) &mdash; <strong>DPO obbligatorio<\/strong>.<\/p>\n<h3>Le opzioni valutate<\/h3>\n<ul>\n<li><strong>DPO interno full-time<\/strong>: 55.000 RAL + oneri = 77.000\/anno + 4.000 formazione + 3.000 software = <strong>84.000 euro<\/strong>.<\/li>\n<li><strong>DPO esterno solo<\/strong>: studio specializzato sanit&agrave;, 18.000 euro\/anno. Rischio: response time su incident notturni.<\/li>\n<li><strong>DPO esterno + privacy officer interno<\/strong>: 18.000 esterno + 12.000 differenziale stipendio privacy officer (HR formato 1-2 giorni\/mese) = <strong>30.000 euro<\/strong>.<\/li>\n<\/ul>\n<h3>La scelta<\/h3>\n<p>Scelta finale: <strong>DPO esterno + privacy officer interno<\/strong>. Il privacy officer (no titolo DPO formale) coordina <em>day-by-day<\/em> richieste interessati, triage breach, formazione di base. Il <strong>DPO<\/strong> esterno certificato (UNI 11697 + master sanit&agrave;) presidia decisioni rilevanti, rapporti col <strong>Garante<\/strong>, audit annuale, polizza 3 milioni.<\/p>\n<h3>Risultati a 12 mesi<\/h3>\n<ul>\n<li>Notifica primo breach al <strong>Garante Privacy<\/strong> in <strong>14 ore<\/strong>.<\/li>\n<li>Tre richieste interessati art. 15 GDPR gestite in <strong>5 giorni medi<\/strong>.<\/li>\n<li>Due <strong>DPIA<\/strong> chiuse (telemedicina + appuntamenti) senza obiezioni Garante.<\/li>\n<li>Costo totale anno 1: <strong>32.000 euro<\/strong> (vs 84k interno), risparmio <strong>52.000 euro<\/strong> investiti in sicurezza tecnica (segmentazione rete, MFA, backup offsite).<\/li>\n<\/ul>\n<h2 id=\"roadmap-howto\">Roadmap di nomina DPO in 60 giorni<\/h2>\n<p><script type=\"application\/ld+json\">\n{\n  \"@context\": \"https:\/\/schema.org\",\n  \"@type\": \"HowTo\",\n  \"name\": \"Nominare il DPO in una PMI in 60 giorni\",\n  \"description\": \"Roadmap operativa in 4 fasi per identificare obbligo, selezionare profilo, formalizzare nomina e attivare un DPO efficace in una PMI italiana nel 2021.\",\n  \"totalTime\": \"P60D\",\n  \"step\": [\n    {\n      \"@type\": \"HowToStep\",\n      \"position\": 1,\n      \"name\": \"Assessment obbligo e perimetro (settimane 1-2)\",\n      \"text\": \"Verifica se rientri nelle ipotesi art. 37 GDPR: autorita pubblica, large scale monitoring, large scale special data. Inventario trattamenti, redigi ROPA preliminare se assente. Stima volume DPIA necessarie. Output: documento di assessment con esito obbligo si\/no e perimetro lavoro DPO.\"\n    },\n    {\n      \"@type\": \"HowToStep\",\n      \"position\": 2,\n      \"name\": \"Decisione interno vs esterno e budget (settimane 3-4)\",\n      \"text\": \"Applica la matrice decisionale su dimensione, complessita, settore, rischio sanzioni, budget. Definisci scope contrattuale: ore\/mese, deliverable, SLA risposta, gestione incident, formazione. Approva budget annuale formalizzato dal CdA o titolare.\"\n    },\n    {\n      \"@type\": \"HowToStep\",\n      \"position\": 3,\n      \"name\": \"Selezione e contratto (settimane 5-6)\",\n      \"text\": \"Selezione candidati verificando: certificazione UNI 11697 o TUV, esperienza settore, polizza professionale, referenze cliente. Per esterno: contratto scritto con scope, SLA, polizza, clausola handover. Per interno: lettera di incarico ex art. 38 GDPR con indipendenza, accesso vertici, risorse, no conflitto interesse.\"\n    },\n    {\n      \"@type\": \"HowToStep\",\n      \"position\": 4,\n      \"name\": \"Comunicazione e go-live (settimane 7-8)\",\n      \"text\": \"Comunicazione interna al personale e ai responsabili del trattamento. Pubblicazione dati contatto DPO sul sito ex art. 37(7) GDPR. Comunicazione formale al Garante Privacy via modulo telematico. Onboarding DPO con sessione kickoff: ROPA, sistemi, processi, incident response. Calendar fissato per audit periodico.\"\n    }\n  ]\n}\n<\/script><\/p>\n<h3>Settimane 1-2: assessment obbligo e perimetro<\/h3>\n<p>Verifica se rientri nelle ipotesi <strong>art. 37 GDPR<\/strong>. Inventario di tutti i trattamenti, redazione di un <strong>ROPA<\/strong> preliminare se assente. Stima del volume di <strong>DPIA<\/strong> necessarie nei prossimi 12 mesi. Output documentale: assessment formale con esito obbligo s&igrave;\/no e perimetro di lavoro DPO. Stakeholder coinvolti: titolare, legale interno, IT manager.<\/p>\n<h3>Settimane 3-4: decisione interno vs esterno e budget<\/h3>\n<p>Applica la matrice decisionale sulle cinque variabili (dimensione, complessit&agrave;, settore, rischio, budget). Definisci scope contrattuale: ore\/mese di presenza, deliverable annuali (ROPA, DPIA, audit, formazione), SLA risposta (es. 4 ore feriali, h24 su breach critici), modalit&agrave; gestione incident, programma formazione personale. Approva il budget annuale formalmente dal CdA o titolare.<\/p>\n<h3>Settimane 5-6: selezione e contratto<\/h3>\n<p>Per il <strong>DPO esterno<\/strong>: short list di 3-5 candidati, verifica certificazioni (<strong>UNI 11697:2017<\/strong> o T\u00dcV o IAPP), esperienza nel settore, polizza professionale con massimale congruo, almeno 3 referenze cliente attive. Contratto scritto con scope, SLA, polizza, clausola handover (cosa succede se cessa il rapporto), riservatezza, durata e recesso. Per il <strong>DPO interno<\/strong>: lettera di incarico ex <strong>art. 38 GDPR<\/strong> con indipendenza, accesso ai vertici, risorse, dichiarazione di assenza conflitto di interesse, mansionario.<\/p>\n<h3>Settimane 7-8: comunicazione e go-live<\/h3>\n<p>Comunicazione interna al personale e ai responsabili del trattamento (chi &egrave; il DPO, come si contatta, per cosa). Pubblicazione dei dati di contatto sul sito ex <strong>art. 37(7) GDPR<\/strong>. Comunicazione formale al <strong>Garante Privacy<\/strong> tramite il modulo telematico di nomina. Onboarding DPO con sessione di kickoff su <strong>ROPA<\/strong>, sistemi IT, processi aziendali, incident response plan. Calendar fissato per audit periodico (trimestrale o quadrimestrale a seconda del rischio).<\/p>\n<h2 id=\"faq\">Domande frequenti<\/h2>\n<h3>Una PMI con 30 dipendenti deve nominare il DPO?<\/h3>\n<p>Non automaticamente. La nomina &egrave; obbligatoria solo se l&#8217;attivit&agrave; ricade in una delle tre ipotesi dell&#8217;<strong>art. 37 GDPR<\/strong>: autorit&agrave; pubblica, monitoraggio sistematico su larga scala, trattamento su larga scala di dati particolari. Una PMI B2B con 30 dipendenti che vende software gestionali non &egrave; obbligata, ma pu&ograve; nominare un <strong>DPO<\/strong> volontariamente per gestire meglio i rapporti contrattuali con i clienti enterprise.<\/p>\n<h3>Posso nominare DPO il mio responsabile IT?<\/h3>\n<p>Sconsigliato. L&#8217;<strong>EDPB<\/strong> ha esplicitamente ritenuto che il responsabile IT con potere decisionale sui sistemi di trattamento sia in conflitto di interesse strutturale rispetto al ruolo di <strong>DPO<\/strong>. Il Tribunale di Hannover nel 2019 ha confermato la sanzione. Se sei una PMI piccola e devi internalizzare, valuta un profilo legale o un dirigente HR senza potere decisionale sui trattamenti.<\/p>\n<h3>Quanto tempo dedica un DPO esterno a una PMI media?<\/h3>\n<p>Tipicamente <strong>4-16 ore\/mese<\/strong> a seconda della complessit&agrave;. Una PMI manifatturiera 60 dipendenti con e-commerce basico: 4-6 ore\/mese. Una clinica privata 80 dipendenti con telemedicina: 12-16 ore\/mese. Aggiungi DPIA progettuali (8-20 ore una tantum) e audit annuale (8-16 ore). Il contratto deve esplicitare il monte ore incluso e il costo dell&#8217;overflow.<\/p>\n<h3>Se nomino un DPO esterno devo comunicarlo al Garante Privacy?<\/h3>\n<p>S&igrave;, &egrave; obbligatorio sia per il DPO esterno che interno. La comunicazione avviene via modulo telematico sul sito del <strong>Garante Privacy<\/strong> indicando: dati identificativi del DPO, recapiti (email, telefono, indirizzo), il fatto che &egrave; interno o esterno. La mancata comunicazione &egrave; una violazione formale sanzionabile, anche se non grave.<\/p>\n<h3>Il DPO &egrave; responsabile in caso di sanzione GDPR?<\/h3>\n<p>No, la responsabilit&agrave; del trattamento resta in capo al titolare (e al responsabile esterno per la sua quota). Il <strong>DPO<\/strong> &egrave; un consulente, non un sostituto del titolare. Tuttavia il <strong>DPO<\/strong> esterno con polizza professionale risponde per dolo o colpa grave nello svolgimento dell&#8217;incarico: tipicamente errori macroscopici di valutazione, pareri palesemente errati, omessa segnalazione di rischi gravi al titolare.<\/p>\n<h3>Posso licenziare il DPO se non sono soddisfatto?<\/h3>\n<p>Per il <strong>DPO interno<\/strong>, l&#8217;<strong>art. 38(3) GDPR<\/strong> vieta il licenziamento o le sanzioni <em>per i compiti svolti come DPO<\/em>. Resta possibile il licenziamento per giusta causa indipendente (es. furto, gravi inadempimenti contrattuali estranei al ruolo DPO). Per il <strong>DPO esterno<\/strong>, il contratto pu&ograve; prevedere recesso ordinario con preavviso e clausole di non sostituzione &quot;ritorsiva&quot;.<\/p>\n<h3>Cosa cambia se la mia PMI ha sede in altri paesi UE?<\/h3>\n<p>Se hai stabilimento secondario in Francia (<strong>CNIL<\/strong>), Spagna (<strong>AEPD<\/strong>) o Austria (<strong>DSB<\/strong>), valgono le regole DPO nazionali con piccole varianti. La <strong>CNIL<\/strong> applica un&#8217;interpretazione restrittiva del &quot;large scale&quot;, l&#8217;<strong>AEPD<\/strong> ha una lista positiva di settori con DPO obbligatorio. Un <strong>DPO<\/strong> esterno con esperienza multi-paese aiuta a coordinare le posizioni delle diverse autorit&agrave;.<\/p>\n<div class=\"cta-box\" style=\"background:linear-gradient(135deg,#0284c7 0%,#0369a1 100%);color:#fff;padding:32px;border-radius:10px;margin:40px 0;text-align:center;\">\n<h3 style=\"color:#fff;margin-top:0;\">Vuoi costruire un sistema privacy davvero compliant nella tua PMI?<\/h3>\n<p style=\"font-size:1.05em;margin:18px 0;\">Brentasoft progetta gestionali personalizzati GDPR-ready, con ROPA integrato, audit trail, gestione consensi e workflow DPIA. Affianchiamo l&#8217;azienda dalla scelta del DPO alla messa a terra delle misure tecniche e organizzative richieste dal Garante Privacy.<\/p>\n<p style=\"margin:18px 0;\"><a href=\"https:\/\/brentasoft.com\/erp-brenta\/gdpr.php\" style=\"display:inline-block;background:#fff;color:#0284c7;padding:14px 28px;border-radius:6px;text-decoration:none;font-weight:600;margin:6px;\">Modulo GDPR di Brenta ERP<\/a> <a href=\"https:\/\/brentasoft.com\/soluzioni\/gestionali-personalizzati.php\" style=\"display:inline-block;background:transparent;color:#fff;border:2px solid #fff;padding:12px 26px;border-radius:6px;text-decoration:none;font-weight:600;margin:6px;\">Gestionali personalizzati<\/a> <a href=\"https:\/\/brentasoft.com\/preventivatore.php\" style=\"display:inline-block;background:#fbbf24;color:#0a0a0f;padding:14px 28px;border-radius:6px;text-decoration:none;font-weight:600;margin:6px;\">Richiedi preventivo<\/a><\/p>\n<\/div>\n<p><script type=\"application\/ld+json\">\n{\n  \"@context\": \"https:\/\/schema.org\",\n  \"@type\": \"FAQPage\",\n  \"mainEntity\": [\n    {\n      \"@type\": \"Question\",\n      \"name\": \"Una PMI con 30 dipendenti deve nominare il DPO?\",\n      \"acceptedAnswer\": {\"@type\": \"Answer\", \"text\": \"Non automaticamente. La nomina e obbligatoria solo se l'attivita ricade in una delle tre ipotesi dell'art. 37 GDPR: autorita pubblica, monitoraggio sistematico su larga scala, trattamento su larga scala di dati particolari. Una PMI B2B con 30 dipendenti che vende software gestionali non e obbligata, ma puo nominare un DPO volontariamente per gestire meglio i rapporti contrattuali con i clienti enterprise.\"}\n    },\n    {\n      \"@type\": \"Question\",\n      \"name\": \"Posso nominare DPO il mio responsabile IT?\",\n      \"acceptedAnswer\": {\"@type\": \"Answer\", \"text\": \"Sconsigliato. L'EDPB ha esplicitamente ritenuto che il responsabile IT con potere decisionale sui sistemi di trattamento sia in conflitto di interesse strutturale rispetto al ruolo di DPO. Il Tribunale di Hannover nel 2019 ha confermato la sanzione. Se sei una PMI piccola e devi internalizzare valuta un profilo legale o un dirigente HR senza potere decisionale sui trattamenti.\"}\n    },\n    {\n      \"@type\": \"Question\",\n      \"name\": \"Quanto tempo dedica un DPO esterno a una PMI media?\",\n      \"acceptedAnswer\": {\"@type\": \"Answer\", \"text\": \"Tipicamente 4-16 ore al mese a seconda della complessita. Una PMI manifatturiera 60 dipendenti con e-commerce basico: 4-6 ore al mese. Una clinica privata 80 dipendenti con telemedicina: 12-16 ore al mese. Aggiungi DPIA progettuali (8-20 ore una tantum) e audit annuale (8-16 ore). Il contratto deve esplicitare il monte ore incluso e il costo dell'overflow.\"}\n    },\n    {\n      \"@type\": \"Question\",\n      \"name\": \"Se nomino un DPO esterno devo comunicarlo al Garante Privacy?\",\n      \"acceptedAnswer\": {\"@type\": \"Answer\", \"text\": \"Si, e obbligatorio sia per il DPO esterno che interno. La comunicazione avviene via modulo telematico sul sito del Garante Privacy indicando dati identificativi del DPO, recapiti (email, telefono, indirizzo) e il fatto che e interno o esterno. La mancata comunicazione e una violazione formale sanzionabile, anche se non grave.\"}\n    },\n    {\n      \"@type\": \"Question\",\n      \"name\": \"Il DPO e responsabile in caso di sanzione GDPR?\",\n      \"acceptedAnswer\": {\"@type\": \"Answer\", \"text\": \"No, la responsabilita del trattamento resta in capo al titolare e al responsabile esterno per la sua quota. Il DPO e un consulente, non un sostituto del titolare. Tuttavia il DPO esterno con polizza professionale risponde per dolo o colpa grave nello svolgimento dell'incarico: tipicamente errori macroscopici di valutazione, pareri palesemente errati, omessa segnalazione di rischi gravi al titolare.\"}\n    },\n    {\n      \"@type\": \"Question\",\n      \"name\": \"Posso licenziare il DPO se non sono soddisfatto?\",\n      \"acceptedAnswer\": {\"@type\": \"Answer\", \"text\": \"Per il DPO interno l'art. 38(3) GDPR vieta il licenziamento o le sanzioni per i compiti svolti come DPO. Resta possibile il licenziamento per giusta causa indipendente, ad esempio furto o gravi inadempimenti contrattuali estranei al ruolo DPO. Per il DPO esterno il contratto puo prevedere recesso ordinario con preavviso e clausole di non sostituzione ritorsiva.\"}\n    },\n    {\n      \"@type\": \"Question\",\n      \"name\": \"Cosa cambia se la mia PMI ha sede in altri paesi UE?\",\n      \"acceptedAnswer\": {\"@type\": \"Answer\", \"text\": \"Se hai stabilimento secondario in Francia (CNIL), Spagna (AEPD) o Austria (DSB) valgono le regole DPO nazionali con piccole varianti. La CNIL applica un'interpretazione restrittiva del large scale, l'AEPD ha una lista positiva di settori con DPO obbligatorio. Un DPO esterno con esperienza multi-paese aiuta a coordinare le posizioni delle diverse autorita.\"}\n    }\n  ]\n}\n<\/script><\/p>\n","protected":false},"excerpt":{"rendered":"<p>TL;DR &mdash; DPO interno o esterno per la tua PMI? Obbligo: il DPO &egrave; obbligatorio solo per autorit&agrave; pubbliche, soggetti che fanno large scale monitoring (es. monitoraggio sistematico&hellip;<\/p>\n","protected":false},"author":2,"featured_media":1403,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_seopress_titles_title":"DPO interno vs esterno: guida PMI 2021 | Brentasoft","_seopress_titles_desc":"DPO interno o esterno per la tua PMI? Decision framework 2021 con obbligo legge, costi reali, decision matrix e roadmap di nomina in 60 giorni.","_seopress_robots_index":"","_seopress_robots_follow":"","_seopress_robots_imageindex":"","_seopress_robots_snippet":"","_seopress_robots_primary_cat":"","_seopress_robots_breadcrumbs":"","_seopress_robots_freeze_modified_date":"","_seopress_robots_custom_modified_date":"","_seopress_robots_canonical":"","_seopress_social_fb_title":"DPO interno vs esterno: guida PMI 2021 | Brentasoft","_seopress_social_fb_desc":"DPO interno o esterno per la tua PMI? Decision framework 2021 con obbligo legge, costi reali, decision matrix e roadmap di nomina in 60 giorni.","_seopress_social_fb_img":"https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/09\/dpo-interno-vs-esterno-pmi-2021-featured.jpg","_seopress_social_fb_img_attachment_id":0,"_seopress_social_fb_img_width":0,"_seopress_social_fb_img_height":0,"_seopress_social_twitter_title":"DPO interno vs esterno: guida PMI 2021 | Brentasoft","_seopress_social_twitter_desc":"DPO interno o esterno per la tua PMI? Decision framework 2021 con obbligo legge, costi reali, decision matrix e roadmap di nomina in 60 giorni.","_seopress_social_twitter_img":"https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2021\/09\/dpo-interno-vs-esterno-pmi-2021-featured.jpg","_seopress_social_twitter_img_attachment_id":0,"_seopress_social_twitter_img_width":0,"_seopress_social_twitter_img_height":0,"_seopress_redirections_value":"","_seopress_redirections_enabled":"","_seopress_redirections_enabled_regex":"","_seopress_redirections_logged_status":"","_seopress_redirections_param":"","_seopress_redirections_type":0,"_seopress_analysis_target_kw":"DPO PMI,DPO interno,DPO esterno,GDPR art 37,costi DPO 2021,Data Protection Officer","footnotes":""},"categories":[25],"tags":[],"class_list":["post-1413","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-compliance-normative"],"_links":{"self":[{"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/posts\/1413","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/comments?post=1413"}],"version-history":[{"count":3,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/posts\/1413\/revisions"}],"predecessor-version":[{"id":1419,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/posts\/1413\/revisions\/1419"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/media\/1403"}],"wp:attachment":[{"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/media?parent=1413"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/categories?post=1413"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/tags?post=1413"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}