Home / News / IL RUOLO DEL DPO (Data Protection Officer) O RPD (Responsabile per la Protezione dei Dati personali): quando è obbligatoria la nomina?

IL RUOLO DEL DPO (Data Protection Officer) O RPD (Responsabile per la Protezione dei Dati personali): quando è obbligatoria la nomina?

Il DPO (Data Protection Officer), figura introdotta con il Regolamento europeo 679/16, ha un ruolo essenziale nella consulenza privacy e ha il compito di affiancare il titolare, i responsabili, gli autorizzati al trattamento, guidandoli nella corretta applicazione del GDPR. 

Le funzioni essenziali ricoperte dal DPO sono individuate all’art. 38 del GDPR, e si sostanziano in obblighi informativi e di consulenza, di sorveglianza sulla corretta applicazione della normativa privacy, di osservanza delle politiche aziendali in tema di protezione dei dati personali e di cooperazione con l’autorità di controllo.

 

Quando è obbligatorio nominare il DPO?

 

Il GDPR, all’art 37, par. 1) lett. a) b) e c), dispone che la figura del DPO è obbligatoria quando:

– il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico;

– le attività principali del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare o sistematico degli interessati su larga scala;

– le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’art 9 o di dati relativi a condanne penali e reati di cui all’art. 10.

Nonostante la previsione normativa, non è sempre agevole capire se la nostra realtà aziendale rientri o meno nei casi in cui la nomina del DPO risulta obbligatoria.

Malgrado le definizioni “monitoraggio sistematico” e “larga scala” non siano delineate dal Regolamento europeo, le linee guida sui responsabili della protezione dei dati personali, forniscono elementi utili al fine di definirne il contenuto.

In particolare, al fine di stabilire se il trattamento posto in essere dalla nostra azienda sia su larga scala, è necessario valutare il numero dei soggetti interessati al trattamento; il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento; la durata e la persistenza dell’attività di trattamento e la sua portata geografica.

Per quel che concerne la definizione di monitoraggio regolare e sistematico degli interessati, il considerando 24 del Regolamento europeo vi ricomprende tutte le attività di tracciamento e profilazione su internet, anche per finalità di pubblicità comportamentale. Per le attività di trattamento che non avvengono online, il monitoraggio può essere definito regolare, se avviene, ad esempio, in modo continuo o ricorrente, mentre è sistematico se è organizzato o metodico.

Per tutte le informazioni  contatta il Servizio Privacy

Articoli correlati

    Legal
    09 Novembre 2020
    Google, l’Antitrust apre un’istruttoria per vederci chiaro sull’uso dei dati nelle campagne pubblicitarie
    Leggi articolo
    Legal
    20 Luglio 2021
    Attacchi informatici alle aziende in aumento: informazione e formazione contro gli attacchi dei pirati del web
    Leggi articolo
    Legal
    29 Settembre 2023
    REGOLAMENTO INFORMATICO AZIENDALE: policy e procedure IT in linea con il GDPR
    Leggi articolo
    Legal
    06 Maggio 2022
    Vietato l’utilizzo dei DARK PATTERN nelle piattaforme web: le nuove linee guida EDPB
    Leggi articolo
    Legal
    20 Settembre 2021
    NOVITA’ SULLA GESTIONE DEI COOKIE CON L’INTRODUZIONE DELLE “LINEE GUIDA COOKIE E ALTRI STRUMENTI DI TRACCIAMENTO” - 10 GIUGNO 2021
    Leggi articolo
    Legal
    16 Giugno 2023
    La disciplina del cd. whistleblowing garantisce un elevato livello di protezione delle persone che segnalano violazioni del diritto dell’Unione
    Leggi articolo