menu
cerca
Responsabilità del DPO – cosa stabilisce la sentenza del Tribunale di Firenze del 2026

Responsabilità del DPO – cosa stabilisce la sentenza del Tribunale di Firenze del 2026

Il Ruolo del DPO definito dal Tribunale di Firenze
lunedì 15 Giugno 2026

Il Ruolo del DPO secondo il Tribunale di Firenze – responsabilità e limiti in caso di attacchi informatici

Una recente sentenza del Tribunale di Firenze del 29 maggio 2026 ha chiarito in modo significativo i confini della responsabilità del Data Protection Officer (DPO) in caso di violazioni della sicurezza informatica e attacchi cyber.

La decisione rappresenta un importante punto di riferimento per aziende, professionisti della privacy e titolari del trattamento che operano nel rispetto del GDPR.

Il caso – una truffa informatica da 390.000 euro

La vicenda trae origine da una truffa informatica che ha causato a un’azienda una perdita economica di circa 390.000 euro. A seguito dell’accaduto, la società ha tentato di attribuire la responsabilità al proprio DPO, sostenendo che il professionista non avesse adeguatamente svolto il proprio incarico.

La controversia è nata nell’ambito dell’opposizione a un decreto ingiuntivo relativo ai compensi richiesti dal DPO per l’attività svolta. L’azienda chiedeva infatti la revoca del decreto per presunto inadempimento professionale e, in via riconvenzionale, domandava il risarcimento dei danni subiti.

Quali sono i compiti del DPO secondo il GDPR?

Il Tribunale di Firenze ha ribadito che il Data Protection Officer svolge principalmente funzioni di consulenza, informazione e sorveglianza in materia di protezione dei dati personali.

Tra i suoi compiti rientrano:

  • l’analisi dei sistemi e dei processi aziendali;
  • l’individuazione delle criticità in materia di privacy e sicurezza;
  • la formulazione di raccomandazioni e misure correttive;
  • il monitoraggio della conformità al GDPR;
  • il supporto al titolare del trattamento nelle attività di compliance.

Il DPO, tuttavia, non riveste un ruolo operativo né esecutivo all’interno dell’organizzazione.

La responsabilità del Titolare del Trattamento

La sentenza richiama il principio fondamentale sancito dall’articolo 24 del GDPR: è il Titolare del Trattamento a essere direttamente responsabile dell’adozione e dell’implementazione delle misure tecniche e organizzative necessarie per garantire la sicurezza dei dati personali.

Questo significa che la responsabilità della cybersecurity aziendale e delle misure di protezione informatica non può essere trasferita al DPO, il quale ha esclusivamente il compito di segnalare i rischi e suggerire gli interventi necessari.

Perché il DPO non è stato ritenuto responsabile

Nel caso esaminato, il professionista aveva correttamente adempiuto ai propri obblighi documentando, attraverso audit, verifiche e report periodici, diverse criticità di sicurezza presenti nell’organizzazione.

Tra le problematiche segnalate figuravano:

  • l’assenza dell’autenticazione a due fattori (MFA);
  • la necessità di rafforzare le misure di cybersecurity;
  • la formazione del personale sui rischi informatici;
  • l’adozione di ulteriori misure di sicurezza organizzative.

L’azienda, tuttavia, non aveva dato seguito alle raccomandazioni formulate dal DPO e non aveva implementato le misure suggerite.

La decisione del Tribunale di Firenze

Alla luce della documentazione prodotta, il Tribunale di Firenze ha rigettato la richiesta di risarcimento avanzata dalla società e ha confermato il diritto del DPO a ricevere i compensi professionali dovuti, oltre alle spese legali.

La sentenza conferma un principio particolarmente rilevante per il sistema di protezione dei dati personali: la responsabilità del DPO è limitata alla corretta esecuzione delle attività di consulenza, monitoraggio e vigilanza previste dal GDPR e dal contratto di incarico, senza estendersi all’attuazione diretta delle misure di sicurezza informatica.

La pronuncia del Tribunale di Firenze rappresenta un importante chiarimento sul ruolo del Data Protection Officer. Il DPO deve individuare e segnalare i rischi, supportare il titolare del trattamento e monitorare la conformità normativa, ma non può essere considerato responsabile per la mancata implementazione delle misure di sicurezza da parte dell’azienda.

Per le organizzazioni, questa decisione evidenzia ancora una volta l’importanza di non limitarsi a ricevere indicazioni in materia di privacy e cybersecurity, ma di adottare concretamente le misure tecniche e organizzative necessarie per garantire la protezione dei dati personali e la conformità al GDPR.

La sentenza completa del tribunale di Firenze: Visualizza il documento

Le nostre fonti:

Azienda colpita da truffa informatica: non spetta al DPO adottare direttamente le misure tecniche e organizzative

Se l’impresa è vittima di truffa informatica, non è il DPO a doverne rispondere

contattaci
Go to top