Responsabilità civile del DPO: la sentenza del Tribunale di Firenze
In queste ore sono numerosissimi gli articoli di giornale e i post di commento alla Sentenza della Terza Sezione Civile del Tribunale di Firenze del 28 maggio 2026 (Documento), relativa alla responsabilità civile del DPO esterno nei confronti del proprio assistito.
Molti commentatori evidenziano come il Tribunale fiorentino abbia escluso la responsabilità del DPO, rigettando la richiesta di rivalsa del cliente che era risultato danneggiato per 390.000 euro a causa di un attacco informatico.
A nostro parere, i punti di principale interesse della pronuncia sono due:
- i limiti della responsabilità civile del DPO
- la questione del conflitto di interesse del DPO
Responsabilità civile del DPO
Il passaggio
In un primo rilevante passaggio, il Giudice, richiamando la normativa (art. 39, par. 1, lett. a) e b)) e le Linee Guida WP29 (ora EDPB) WP243_Rev01, ricorda che le responsabilità esecutive in merito all’adozione di misure di sicurezza e, più in generale, al rispetto di quanto previsto dalla normativa vigente, spettano al Titolare e al Responsabile del trattamento, mentre il DPO conserva solo una responsabilità di sorveglianza e consulenza. Ad integrazione della disciplina generale, il Giudice osserva poi la rilevanza di eventuali previsioni contrattuali che integrino o specifichino mansioni ulteriori in mancanza delle quali, come nel caso di cui in decisione, a maggior ragione non si può pretendere di ampliare il perimetro di doveri di adempimento gravanti sul DPO. In fine, il Giudice ritiene rilevante la circostanza della documentazione, riscontrata in diversi modi, dei numerosi interventi del DPO atti a evidenziare le lacune del Titolare proprio in materia di misure di sicurezza relative ai sistemi che sono risultati, poi, oggetto di attacco informatico.
Il nostro commento
Sotto questo primo profilo, ci preme osservare come la sentenza non affermi nulla di particolarmente innovativo, anche se una prima pronuncia giurisprudenziale in materia riveste in sé e per sé interesse per gli operatori. Infatti, quanto richiamato dal giudice è pacifico proprio dalla lettura delle fonti citate in sentenza. Non ci risulta alcuna fonte normativa o interpretativa ad oggi disponibile che possa far ritenere che in capo al DPO possa gravare, in tutto o in parte, una responsabilità diretta circa l’effettiva ottemperanza delle norme da parte del Titolare o del Responsabile e, men che meno, dell’incapacità effettiva di proteggere i loro interessati dai rischi connessi ai trattamenti di dati. Anzi, a nostro parere appare controversa la digressione del Tribunale circa eventuali integrazioni dei compiti previste dal contratto di servizi, dal momento che qualora queste fossero sate contrarie alle disposizioni di legge che regolano i compiti del DPO, non avrebbero comunque dovuto rilevare. Inoltre, concludiamo, dato il riscontro circa le numerose segnalazioni scritte (report di audit, mail) fornite dal DPO in merito alle lacune di sicurezza, peraltro anche dettagliate da quanto si legge in sentenza, non è realmente comprensibile come si sarebbe potuto anche solo sospettare, nel caso di specie, una condotta inadempiente.
Più interessante, in termini di comprensione dei reali limiti delle competenze/responsabilità del DPO, sarebbe stata una pronuncia in merito ad un DPO che, pur presente ed attivo (no DPO a chiamata o nominale), si fosse limitato a svolgere i suoi compiti con minor proattività e profondità tecnica o, addirittura, qualora il DPO avesse mancato di segnalare lacune inferibili alla luce delle informazioni fornite dal Titolare o dal Responsabile. Infatti, a nostro avviso, anche quese ultime ipotesi, più estreme, sono controverse. Il DPO, infatti, è una figura ibrida e, oltre a non poter assumere decisioni in via diretta, non coincide nemmeno con il CISO o figure tecniche assimilabili ad esso. Per ciò, a meno che non ometta di segnalare violazioni di carattere giuridico o non fornisca rassicurazioni/pareri errati e fuorvianti, la sua posizione di responsabilità non è di semplice inquadramento.
Il conflitto di interessi
Il passaggio
Nel secondo passaggio che riteniamo prioritario commentare, il Tribunale afferma che “Pertanto, se non esiste alcuna preclusione nella nomina di un DPO dipendente dal titolare/responsabile del trattamento, a fortiori non si vede ove trovi fondamento l’incompatibilità dedotta dall’attrice tra una società preposta alla ristrutturazione/ricostituzione del settore IT e il DPO, non intercorrendo tra gli stessi alcun rapporto di controllato/controllore. ”
Il nostro commento
Se, da un lato, chi commenta accoglie con entusiasmo qualsiasi pronuncia atta a chiarire e perimetrare correttamente una problematica (il conflitto di interessi del DPO) che, lasciata colpevolmente vaga, appare spesso ampliata per via interpretativa inopinatamente per scopi che nulla hanno a che vedere con l’efficace svolgimento dei compiti ex art. 39 GDPR e con la tutela degli interessati, preme segnalare che il passaggio citato potrebbe obliterare alcuni elementi concettuali rilevanti. Anche qui il Tribunale cita le Linee Guida EDPB, ma nel considerare i criteri utili a stabilire in cosa consista il conflitto di interessi parlando di DPO, omette di far riferimento al criterio principale. Si cita il criterio dell’indipendenza (facendo riferimento anche al considerando 97 del GDPR) e si cita la massima della non coincidenza del controllato con il controllore. Ma non si cita il requisito per il quale il DPO non dovrebbe mai determinare le finalità e i mezzi di un trattamento. Considerando ciò, tuttavia, appare molto meno placida e automatica la conclusione per la quale non vi possa essere conflitto di interesse tra una società che eroga servizi IT e un DPO, dal momento che non è affatto escluso che la prima, per conto del Titolare, si trovi ad assumere decisioni circa, se non le finalità, i mezzi dei trattamenti effettuati dallo stesso.
Conclusioni
La sentenza del Tribunale di Firenze farà certamente discutere e, fino a pronunce successive, finirà per assurgere a criterio in materia di rapporti tra DPO e Clienti, con risvolti anche in ambito assicurativo. Tuttavia, i profili controversi restano numerosi e un chiarimento più organico e complessivo della disciplina applicabile è auspicabile, onde evitare problemi e ambiguità che ad oggi rendono ancora più complesso e penalizzante un mercato già afflitto da numerosissimi soggetti privi di scrupoli e di competenze.
