La recente sentenza del Tribunale di Firenze, del 28 maggio 2026, offre l’occasione di riflettere sul ruolo del Data Protection Officer e, soprattutto, sui limiti della sua responsabilità nell’ambito dei sistemi di compliance aziendale. La pronuncia, resa all’esito di una controversia sorta in virtù dell’opposizione al decreto ingiuntivo precedentemente ottenuto dal DPO per compensi professionali non corrisposti, si inseriva altresì in una più ampia e complessa vicenda avente ad oggetto una frode informatica subita dalla società opponente la quale aveva sì, adempiuto al pagamento dei compensi del DPO, ma, proprio per effetto della truffa subita, in favore di un soggetto diverso dal professionista creditore. Nel dipanarsi tra le circostanze appena menzionate, brevemente, la sentenza ha affrontato una questione di particolare interesse: il DPO può e, se sì, fino a che punto, essere chiamato a rispondere delle conseguenze derivanti da carenze organizzative e di sicurezza dell’ente presso il quale svolge il proprio incarico? La risposta a questa domanda, come si dirà, oltre che sul ruolo di DPO, può avere riflessi anche sulla posizione dell’Organismo di Vigilanza.