Articolo pubblicato su QG, riservato agli abbonati.
La figura del Data Protection Officer (DPO), introdotta dal Regolamento (UE) 2016/679, continua a costituire uno degli snodi più complessi e al contempo più delicati dell’intero sistema europeo di protezione dei dati personali. A oltre otto anni dalla piena applicazione del GDPR, l’evoluzione normativa e giurisprudenziale ha evidenziato una persistente difficoltà nell’esatta delimitazione del perimetro funzionale del DPO, spesso oggetto di interpretazioni estensive che tendono a sovrapporlo impropriamente alle responsabilità del titolare del trattamento o a configurarlo quale garante generale della sicurezza informatica dell’organizzazione.
In tale contesto si inserisce la sentenza del Tribunale di Firenze n. 3034 del 28 maggio 2026, che affronta in modo diretto il tema della responsabilità del DPO in relazione a una frode informatica riconducibile a tecniche di business e-mail compromise, offrendo un contributo rilevante alla chiarificazione dei rapporti tra obblighi di consulenza, indipendenza funzionale e limiti della responsabilità professionale.
La decisione trae origine da un significativo evento dannoso, consistente in un pagamento indebitamente disposto da una società per un importo rilevante a favore di soggetti terzi fraudolenti. La società attrice ha imputato al proprio DPO la responsabilità dell’accaduto, sostenendo un inadempimento agli obblighi di vigilanza e una presunta omissione nell’individuazione delle misure di sicurezza idonee a prevenire la frode. Il Tribunale ha tuttavia escluso qualsiasi responsabilità del professionista, ricostruendo in modo rigoroso il quadro normativo di riferimento e ribadendo che gli obblighi relativi all’adozione delle misure tecniche e organizzative adeguate ai sensi degli artt. 24, 25 e 32 del GDPR gravano esclusivamente sul titolare del trattamento. Il DPO, al contrario, è chiamato a svolgere una funzione di consulenza, sorveglianza e supporto, priva di poteri esecutivi o decisionali.
La sentenza assume particolare rilievo in quanto valorizza in modo sistematico la natura del DPO quale figura di garanzia e presidio specialistico, la cui funzione si inserisce nel più ampio principio di accountability del titolare del trattamento. Tale principio, cardine del sistema europeo di protezione dei dati, implica che il soggetto titolare non possa mai trasferire ad altri la responsabilità delle proprie decisioni organizzative e delle scelte in materia di sicurezza e conformità. In questa prospettiva, il DPO non può essere considerato responsabile per il verificarsi di un data breach o di una frode informatica, salvo che non sia dimostrata una specifica violazione dei propri obblighi professionali di consulenza, monitoraggio e segnalazione.
Il Tribunale di Firenze richiama, a sostegno della propria interpretazione, le disposizioni degli artt. 37, 38 e 39 del GDPR nonché le Linee guida WP243 rev.01 del Gruppo di lavoro Articolo 29, dalle quali emerge con chiarezza la natura non esecutiva della funzione del DPO. In particolare, viene sottolineato che il Responsabile della protezione dei dati non deve determinare le finalità e i mezzi del trattamento, né assumere decisioni operative, ma deve piuttosto assistere il titolare nel rispetto della normativa, monitorandone l’attuazione e fornendo raccomandazioni qualificate. Da ciò discende l’incompatibilità strutturale tra la figura del DPO e qualsiasi forma di responsabilità per la mancata implementazione di misure tecniche, che rimangono nella sfera di competenza del titolare e delle strutture organizzative interne.
Un ulteriore profilo affrontato dalla pronuncia riguarda la verifica dell’esatto adempimento dell’incarico professionale. Il giudice valorizza in modo significativo la documentazione prodotta dal DPO, evidenziando come audit periodici, report di conformità, analisi dei rischi, segnalazioni formali e raccomandazioni tecniche costituiscano elementi idonei a dimostrare il corretto svolgimento della funzione. La sentenza assume particolare importanza nel chiarire che l’attività del DPO non può essere valutata sulla base di comunicazioni informali o generiche interlocuzioni, ma richiede la presenza di evidenze documentali strutturate, coerenti con i principi di accountability e tracciabilità. In tale prospettiva, la pronuncia contribuisce a delineare un modello probatorio dell’adempimento professionale fondato su standard oggettivi di documentazione dell’attività svolta.
Particolarmente significativo è anche il riferimento alla funzione formativa del DPO, la quale viene ricondotta tra gli strumenti essenziali di mitigazione del rischio. La sentenza valorizza infatti le attività di sensibilizzazione e formazione del personale in materia di sicurezza informatica, con particolare riferimento ai fenomeni di phishing e social engineering, evidenziando come la prevenzione degli incidenti dipenda in larga misura dalla consapevolezza degli utenti interni. Tale impostazione risulta coerente con l’art. 39 del GDPR, che include espressamente la formazione tra i compiti del DPO, rafforzando l’idea di una funzione prevalentemente consulenziale e organizzativa piuttosto che operativa.
La pronuncia affronta inoltre il tema del conflitto di interessi, respingendo la tesi secondo cui la coincidenza, anche parziale, della compagine societaria tra il soggetto incaricato della funzione di DPO e quello operante come consulente informatico del titolare possa automaticamente determinare una situazione di incompatibilità. Il Tribunale adotta un approccio prevalentemente formale, fondato sulla distinzione tra centri giuridici autonomi, escludendo la sussistenza di un conflitto in assenza di prova di un’influenza diretta sulle decisioni relative ai trattamenti. Tale ricostruzione, pur coerente con il dato organizzativo, si confronta con l’impostazione sostanzialistica delle Linee guida WP29, che individuano il conflitto di interessi sulla base della capacità di incidere sulle finalità e sui mezzi del trattamento, indipendentemente dalla forma giuridica dei soggetti coinvolti.
Sotto il profilo sistematico, la sentenza conferma la qualificazione dell’attività del DPO come obbligazione di mezzi e non di risultato. Il professionista non è tenuto a garantire l’assenza di violazioni o incidenti di sicurezza, bensì a svolgere con diligenza qualificata le attività di consulenza, sorveglianza e supporto previste dal GDPR. Ne consegue che l’evento dannoso non può costituire, di per sé, prova dell’inadempimento, dovendo invece essere verificata la correttezza del comportamento professionale, la tempestività delle segnalazioni e l’adeguatezza delle raccomandazioni formulate.
La sentenza del Tribunale di Firenze n. 3034/2026 si inserisce in modo significativo nel processo di progressiva definizione giurisprudenziale della figura del DPO, contribuendo a delimitarne con maggiore precisione i confini funzionali e le responsabilità. Essa riafferma con chiarezza la distinzione tra il ruolo del titolare del trattamento e quello del Responsabile della protezione dei dati, evitando derive interpretative che potrebbero trasformare quest’ultimo in un soggetto surrogato delle responsabilità organizzative del titolare. Al tempo stesso, la decisione offre criteri utili per la valutazione dell’esatto adempimento dell’incarico, valorizzando la documentazione delle attività svolte e il rispetto degli standard professionali richiesti.
In un contesto normativo sempre più complesso, caratterizzato dalla convergenza tra protezione dei dati, cybersicurezza e governance dei sistemi digitali, la pronuncia rappresenta un importante punto di riferimento per la corretta interpretazione del ruolo del DPO, ribadendone la funzione di garanzia indipendente, fondata su competenze specialistiche, autonomia e responsabilità limitata alla sfera consulenziale.
Clicca qui per scaricare il testo della sentenza del Tribunale Firenze