Negli ultimi mesi, diversi report di settore hanno evidenziato un dato che merita attenzione sotto il profilo giuridico prima ancora che organizzativo: la crescente difficoltà delle imprese europee nel reperire figure qualificate in materia di protezione dei dati personali, a fronte di un incremento significativo degli investimenti in cybersecurity e tecnologie digitali.
In molte realtà, soprattutto di medie e grandi dimensioni, si registra una progressiva asimmetria: da un lato, strutture tecniche sempre più avanzate, dall’altro, una funzione privacy sottodimensionata, spesso concentrata su adempimenti formali e priva di un effettivo potere di indirizzo. Questo squilibrio incide direttamente sull’effettività del principio di accountability, che costituisce uno dei pilastri del GDPR. È qui che il caso assume un rilievo giuridico ben più ampio. In materia, abbiamo pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon. Abbiamo anche organizzato il corso “Dal GDPR alla Legge AI – Policy, reporting e strumenti pratici per la governance dei dati”
Indice
- 1. Accountability come responsabilità sostanziale
- 2. Il ruolo del DPO tra autonomia e marginalizzazione
- 3. Privacy e cybersecurity: una integrazione incompleta
- 4. L’impatto dell’intelligenza artificiale
- 5. Il rischio sanzionatorio e reputazionale
- 6. Considerazioni conclusive
- Formazione in materia per professionisti
- Vuoi ricevere aggiornamenti costanti?
1. Accountability come responsabilità sostanziale
L’art. 5, par. 2, GDPR stabilisce che il titolare del trattamento è responsabile del rispetto dei principi e deve essere in grado di comprovarlo. L’accountability non si esaurisce, quindi, in una serie di adempimenti documentali, ma implica la capacità di progettare, implementare e monitorare sistemi di trattamento conformi alla normativa.
In assenza di competenze adeguate, questo modello rischia di essere svuotato. Le organizzazioni tendono a concentrarsi su strumenti standardizzati – policy, registri dei trattamenti, informative – senza un reale presidio delle dinamiche operative. La compliance diventa così una rappresentazione formale della conformità, non un elemento strutturale del processo decisionale.
Il problema si manifesta con particolare evidenza nei trattamenti complessi, che richiedono valutazioni articolate, come le valutazioni d’impatto (art. 35 GDPR), la gestione dei trasferimenti internazionali o l’integrazione di sistemi di intelligenza artificiale. In questi ambiti, l’assenza di competenze specialistiche espone l’organizzazione a rischi difficilmente individuabili attraverso strumenti standard. In materia, abbiamo pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon.
Formulario commentato della privacy
La nuova edizione dell’opera affronta con taglio pratico gli aspetti sostanziali e procedurali del trattamento dei dati personali alla luce delle nuove sfide poste dall’evoluzione normativa e tecnologica degli ultimi due anni. La disciplina di riferimento è commentata tenendo conto dei rilevanti interventi a livello europeo e nazionale (tra cui le Linee Guida EDPB, i regolamenti AI Act e DORA, l’attuazione della direttiva NIS 2), offrendo al Professionista una guida completa e aggiornata.Il libro è suddiviso in tredici sezioni, che coprono ogni aspetto della materia e tutti gli argomenti sono corredati da oltre 100 formule e modelli. Tra le novità più rilevanti:• Connessioni tra il nuovo AI Act e il GDPR, differenze tra FRIA e DPIA, valutazione dei rischi e incidenti• Gestione del personale: smart working, telelavoro e whistleblowing• Strumenti di monitoraggio: controlli a distanza dei lavoratori, cloud computing e gestione degli strumenti informatici in azienda• Tutela degli interessati: una guida completa su profilazione, processi decisionali automatizzati e sull’esercizio dei diritti• Strumenti di tutela: sanzioni, reclami, segnalazioni e ricorsi al Garante.Giuseppe CassanoDirettore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi.Enzo Maria Tripodiattualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici.Cristian ErcolanoPartner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2025
58.90 €
2. Il ruolo del DPO tra autonomia e marginalizzazione
La figura del responsabile della protezione dei dati, disciplinata dagli artt. 37-39 GDPR, dovrebbe rappresentare un presidio interno di competenza e indipendenza. Tuttavia, nella prassi, si osservano situazioni in cui il DPO è formalmente nominato ma sostanzialmente marginalizzato.
Ciò avviene, ad esempio, quando:
- il DPO non è coinvolto nei processi decisionali rilevanti;
- le risorse assegnate sono insufficienti rispetto alla complessità dei trattamenti;
- la funzione è accorpata ad altre aree (compliance, IT, legale) senza un’effettiva autonomia.
In tali contesti, il DPO rischia di essere percepito come un elemento di controllo ex post, anziché come un attore del processo di progettazione. Questo approccio contrasta con l’impostazione del GDPR, che richiede un coinvolgimento tempestivo e sistematico del responsabile della protezione dei dati.
La carenza di competenze non riguarda, quindi, soltanto la disponibilità di professionisti sul mercato, ma anche la capacità delle organizzazioni di valorizzare le figure esistenti, attribuendo loro un ruolo coerente con il quadro normativo.
3. Privacy e cybersecurity: una integrazione incompleta
Un ulteriore elemento critico è rappresentato dal rapporto tra privacy e cybersecurity. Negli ultimi anni, anche a seguito dell’adozione della direttiva NIS2 e dell’incremento degli attacchi informatici, le imprese hanno rafforzato le proprie strutture di sicurezza.
Questo investimento, tuttavia, non sempre si accompagna a un analogo rafforzamento della funzione privacy. Ne deriva una gestione dei dati orientata prevalentemente alla protezione tecnica (integrità, disponibilità), con minore attenzione ai profili di liceità, minimizzazione e limitazione della finalità.
Il rischio è quello di una sicurezza “senza diritto”: sistemi tecnicamente robusti, ma giuridicamente non conformi. La protezione dei dati personali non coincide con la sicurezza informatica, pur essendo ad essa strettamente connessa. Il GDPR richiede un approccio integrato, in cui le misure tecniche e organizzative siano coerenti con i principi del trattamento.
4. L’impatto dell’intelligenza artificiale
L’introduzione di sistemi di intelligenza artificiale accentua ulteriormente le criticità. L’AI comporta trattamenti complessi, spesso opachi, che richiedono competenze multidisciplinari: giuridiche, tecniche, organizzative.
In assenza di tali competenze, le organizzazioni tendono ad affidarsi a fornitori esterni o a soluzioni preconfezionate, senza un’adeguata capacità di valutazione. Questo approccio è incompatibile con il principio di accountability, che richiede al titolare di mantenere il controllo sui trattamenti, anche quando utilizza sistemi sviluppati da terzi.
L’AI Act introduce obblighi specifici, ma non sostituisce il GDPR. Le due discipline operano su piani diversi e richiedono un coordinamento che, nella prassi, può essere garantito solo attraverso competenze adeguate.
5. Il rischio sanzionatorio e reputazionale
La carenza di competenze si riflette inevitabilmente sul piano del rischio. Le violazioni del GDPR non derivano soltanto da comportamenti dolosi, ma spesso da errori di valutazione, omissioni o incomprensioni del quadro normativo.
Le sanzioni amministrative, previste dall’art. 83 GDPR, possono essere rilevanti, ma il danno più significativo è spesso di natura reputazionale. La gestione impropria dei dati personali incide sulla fiducia degli utenti, dei clienti e dei partner commerciali.
6. Considerazioni conclusive
La carenza di competenze in materia di protezione dei dati personali non è un problema contingente, ma un fattore strutturale che incide sulla capacità delle organizzazioni di dare attuazione effettiva al GDPR. Il modello europeo non si limita a imporre obblighi, ma richiede un cambiamento culturale, fondato sulla comprensione dei rischi e sull’integrazione della protezione dei dati nei processi decisionali.
Quando questa componente manca, la compliance tende a ridursi a un insieme di adempimenti formali, incapaci di incidere sulle pratiche operative. Il principio di accountability viene così svuotato, trasformandosi da criterio sostanziale di responsabilizzazione in un esercizio documentale.
Il problema non può essere risolto esclusivamente attraverso interventi normativi. L’introduzione di nuovi obblighi, in assenza di competenze adeguate, rischia di aumentare il divario tra norma e prassi. È necessario, piuttosto, un investimento strutturale nelle professionalità, nella formazione e nell’organizzazione interna delle imprese.
In questo scenario, il ruolo del DPO assume un’importanza centrale, ma solo a condizione che sia effettivamente valorizzato. La sua presenza non può essere ridotta a un requisito formale, ma deve tradursi in una partecipazione attiva ai processi decisionali.
La protezione dei dati personali non è un costo accessorio, ma una componente essenziale della governance. Le organizzazioni che non riescono a internalizzare questa dimensione espongono sé stesse a rischi giuridici, economici e reputazionali.
Il punto, in ultima analisi, non è se le imprese rispettino formalmente il GDPR, ma se siano in grado di comprendere e governare il trattamento dei dati come parte integrante della propria attività. Senza questa consapevolezza, la compliance resta un simulacro, privo della capacità di prevenire violazioni e di garantire una tutela effettiva degli interessati.
Formazione in materia per professionisti
Dal GDPR alla Legge AI – Policy, reporting e strumenti pratici per la governance dei dati
Un ciclo di quattro incontri per tradurre le norme su AI e protezione dei dati in procedure operative concrete. Dalla definizione delle policy alla costruzione del reporting e delle linee guida interne, il webinar offre ai professionisti della compliance strumenti immediatamenti applicabili:
• Basi giuridiche e accountability documentale: principi applicabili ai trattamenti tipici dell’ufficio legale, distinzione fra esigenze legali, difensive e operative, mappatura end-to-end del flusso “revisione clausole contrattuali” ed errori frequenti con relative contromisure.
• Criteri e controllo dei risultati: accettazione dei risultati di analisi e AI, registrazione dei casi d’uso e delle verifiche, esempi pratici di analytics.
• KPI, reporting e governance del dato: definizione e monitoraggio degli indicatori, progettazione di dashboard efficaci e policy interne per garantire tracciabilità e qualità dei dati.
• Integrazione AI e workflow aziendale: collegamento dell’AI con l’ecosistema aziendale, flusso “review automatizzata delle clausole” e linee guida “Uso dati e AI nell’ufficio legale”.
>>>Per info ed iscrizioni<<<
Vuoi ricevere aggiornamenti costanti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento