DPO esterno: quando è obbligatorio, quanto costa, e come non sbagliare la scelta
L’obbligo di nominare un Data Protection Officer esiste dal 2018. Dopo quasi otto anni, il livello medio di confusione resta alto. Aziende che dovrebbero avere un DPO non ce l’hanno. Aziende che ce l’hanno hanno nominato la persona sbagliata. E una fetta consistente tratta la nomina come un adempimento burocratico, non come una funzione operativa.
Vediamo quando il DPO è obbligatorio, perché il DPO esterno è spesso la scelta migliore per le PMI, e cosa pretendere da chi vi offre questo servizio.
Quando la nomina del DPO è obbligatoria
L’Articolo 37 del GDPR identifica tre casi in cui la nomina è obbligatoria:
1. Autorità pubblica o organismo pubblico. Enti pubblici, società partecipate, concessionari di servizi pubblici. Qui non c’è margine di interpretazione: il DPO serve sempre.
2. Monitoraggio regolare e sistematico su larga scala. Se la vostra attività principale richiede di osservare, tracciare o profilare gli interessati in modo regolare e sistematico, il DPO è obbligatorio. Pensate a piattaforme e-commerce con profilazione utenti, società di marketing digitale, operatori di videosorveglianza estesa.
3. Trattamento su larga scala di dati particolari o giudiziari. Ospedali, laboratori di analisi, compagnie assicurative sanitarie, società che trattano dati biometrici su larga scala.
Ma attenzione: questi sono i casi in cui la nomina è obbligatoria per legge. Nulla vieta di nominare un DPO anche quando non è strettamente richiesto. E in molti casi, è comunque consigliabile.
La posizione del Garante Privacy italiano
Il Garante ha chiarito in più occasioni che la soglia di “larga scala” va valutata caso per caso, considerando il numero di interessati, il volume di dati, la durata del trattamento e l’estensione geografica. Ha inoltre raccomandato la nomina del DPO anche a soggetti non obbligati, in particolare PMI che trattano dati dei dipendenti e clienti in modo strutturato. Nelle ispezioni, l’assenza del DPO quando il trattamento lo richiederebbe è una delle prime cose che viene contestata.
DPO interno vs DPO esterno: parliamoci chiaro
Il GDPR consente entrambe le opzioni. Il DPO può essere un dipendente o un professionista esterno che opera sulla base di un contratto di servizi. Ciascuna scelta ha implicazioni concrete.
DPO interno
Pro: Conosce l’organizzazione dall’interno. Ha accesso diretto ai processi, alle persone, ai sistemi. Può intervenire in tempo reale.
Contro: Deve essere una persona dedicata (o quasi). Non può avere conflitti di interesse, il che esclude ruoli come IT manager, HR, amministratore delegato, responsabile marketing. In una PMI con 30 dipendenti, trovare qualcuno con le competenze giuste e senza conflitti è spesso impossibile. E anche quando lo trovate, quella persona ha bisogno di formazione continua, budget per strumenti, e tempo protetto. Costo reale: molto più alto di quello che sembra.
DPO esterno
Pro: Indipendenza strutturale garantita. Nessun conflitto di interesse. Competenze aggiornate su normativa e prassi di enforcement. Esperienza trasversale su settori diversi. Costi prevedibili e scalabili.
Contro: Minor conoscenza iniziale dei processi interni. Tempi di risposta potenzialmente più lunghi. Necessita di un punto di contatto interno che faciliti l’accesso alle informazioni.
L’onestà impone di dire che entrambe le opzioni funzionano, se fatte bene. Ma per la maggior parte delle PMI italiane, il DPO esterno è la scelta più razionale. Vediamo perché.
Perché il DPO esterno funziona meglio per le PMI
Costo. Un DPO interno con competenze reali ha un costo aziendale di 50.000-70.000 euro annui, tra stipendio, formazione, strumenti. Un servizio DPO per PMI parte da 3.000-8.000 euro annui per una realtà di piccole dimensioni, e arriva a 15.000-25.000 per aziende medie con trattamenti complessi. La differenza è significativa.
Ampiezza di competenze. Un DPO esterno che segue 15-20 clienti in settori diversi vede più casistiche in un anno di quante ne vedrà un DPO interno in cinque. Questo si traduce in risposte più rapide e soluzioni già testate.
Indipendenza reale. L’indipendenza del DPO non è un concetto astratto. Il DPO deve poter dire “no” al management senza rischiare il posto. Un dipendente, per quanto tutelato dall’Art. 38 GDPR, è strutturalmente in una posizione più debole rispetto a un professionista esterno che può permettersi di perdere un cliente.
Scalabilità. Crescete? Il contratto si adegua. Riducete i trattamenti? Il contratto si adegua. Non state pagando uno stipendio fisso per una funzione che ha carichi di lavoro variabili.
Cosa cercare in un DPO esterno
Qui serve pragmatismo. Il mercato del DPO as a service si è riempito di offerte a basso costo che promettono compliance con un pacchetto di documenti standard e una telefonata al mese. Questo non è un servizio DPO. È una finzione.
Competenza giuridica, non solo certificazione. La certificazione UNI 11697 è utile, ma non sufficiente e non obbligatoria. Cercate qualcuno che capisca di diritto. Un DPO avvocato con esperienza in data protection ha un vantaggio strutturale: sa leggere un provvedimento del Garante, sa rispondere a un’istanza di accesso, sa valutare la base giuridica di un trattamento. La privacy non è solo IT e procedure.
Esperienza dimostrabile. Quante DPIA ha condotto? Ha gestito data breach? Ha interagito con il Garante? Ha esperienza nel vostro settore? Chiedete casi concreti, non slide.
Reperibilità. In caso di data breach avete 72 ore per notificare. Se il vostro DPO risponde solo via email con tempi di 48 ore, avete un problema. Verificate i tempi di risposta contrattuali.
Struttura, non freelance isolato. Un professionista solo può ammalarsi, andare in ferie, avere sovraccarichi. Preferite studi o società che garantiscono continuità del servizio con un team dedicato.
Errori che vedo continuamente
DPO come checkbox. Nominato, comunicato al Garante, dimenticato. Il DPO non viene coinvolto nelle decisioni che riguardano i dati personali. Non partecipa ai progetti. Non ha accesso ai registri dei trattamenti. È un nome su un modulo. Questo viola l’Art. 38 GDPR e, in caso di ispezione, aggrava la posizione dell’azienda invece di proteggerla.
DPO senza risorse. Il DPO deve avere le risorse necessarie per svolgere i propri compiti. Se non gli date accesso ai sistemi, budget per le attività necessarie, e tempo delle persone che devono collaborare con lui, avete un DPO sulla carta e un vuoto nella pratica.
DPO con conflitto di interesse. Il responsabile IT nominato DPO. Il consulente che è anche responsabile del trattamento. Il legale interno che ha scritto i contratti che il DPO dovrebbe valutare. Sono tutti conflitti di interesse che il Garante sanziona. Le linee guida del WP29 (ora EDPB) sono esplicite su questo punto.
DPO e nuovi regolamenti: AI Act e DORA
Il ruolo del DPO si sta espandendo. Non formalmente, ma nella pratica.
L’AI Act richiede una valutazione d’impatto sui diritti fondamentali per i sistemi AI ad alto rischio (Art. 27). Chi la fa? In molte organizzazioni, il DPO è la figura più qualificata per coordinare questa analisi, dato che conduce già le DPIA ai sensi del GDPR. Se la vostra azienda adotta sistemi di AI, il DPO deve essere coinvolto fin dalla fase di progettazione.
Per il settore finanziario, DORA introduce requisiti di resilienza operativa che intersecano la protezione dei dati in più punti: gestione incidenti, rapporti con fornitori ICT, test di sicurezza. Il DPO e il responsabile DORA devono coordinarsi. Un DPO che non conosce DORA in un’entità finanziaria è un DPO incompleto.
Questi nuovi livelli di compliance rendono ancora più importante avere un DPO con competenze trasversali. Non basta più conoscere il GDPR: serve capire come il GDPR interagisce con AI Act, DORA, Data Act, NIS2. Un DPO esterno specializzato in regolamentazione digitale ha più probabilità di coprire questa ampiezza rispetto a un dipendente interno.
Costi: numeri reali
Diffido di chi non parla di soldi. Ecco le fasce di mercato per un DPO esterno in Italia nel 2026:
- Micro-impresa (trattamenti semplici, pochi dati sensibili): 3.000 – 6.000 euro/anno
- PMI (trattamenti strutturati, e-commerce, marketing digitale): 8.000 – 15.000 euro/anno
- Media impresa (trattamenti complessi, dati sanitari, profilazione): 15.000 – 30.000 euro/anno
- Ente pubblico medio: 10.000 – 20.000 euro/anno
Questi importi dovrebbero includere: audit iniziale, aggiornamento registri, gestione richieste degli interessati, supporto in caso di breach, DPIA quando necessarie, formazione del personale, rapporto annuale. Se vi offrono un DPO a 1.500 euro l’anno, chiedetevi cosa state comprando davvero.
Conclusione
Il DPO outsourcing non è una scorciatoia. È una scelta organizzativa che, per la maggior parte delle PMI italiane, offre un rapporto qualità-costo migliore rispetto alla nomina interna. Ma funziona solo se scegliete il professionista giusto e gli date le condizioni per lavorare.
Franchetto Legal offre un servizio DPO as a service costruito sull’esperienza diretta in data protection, AI Act e regolamentazione digitale. Non pacchetti standardizzati: un servizio su misura, con un avvocato specializzato come punto di riferimento e un team a supporto. Se state valutando la nomina di un DPO esterno, o volete verificare se la vostra attuale configurazione regge un’ispezione, parliamone.
Fonti: Regolamento (UE) 2016/679 – GDPR, Artt. 37-39 | Garante Privacy – FAQ sul DPO | EDPB/WP29 – Guidelines on Data Protection Officers | Regolamento (UE) 2024/1689 – AI Act