IL RUOLO DEL DPO (Data Protection Officer) O RPD (Responsabile per la Protezione dei Dati personali): quando è obbligatoria la nomina?

Il DPO (Data Protection Officer), figura introdotta con il Regolamento europeo 679/16, ha un ruolo essenziale nella consulenza privacy e ha il compito di affiancare il titolare, i responsabili, gli autorizzati al trattamento, guidandoli nella corretta applicazione del GDPR. 

Le funzioni essenziali ricoperte dal DPO sono individuate all’art. 38 del GDPR, e si sostanziano in obblighi informativi e di consulenza, di sorveglianza sulla corretta applicazione della normativa privacy, di osservanza delle politiche aziendali in tema di protezione dei dati personali e di cooperazione con l’autorità di controllo.

 

Quando è obbligatorio nominare il DPO?

 

Il GDPR, all’art 37, par. 1) lett. a) b) e c), dispone che la figura del DPO è obbligatoria quando:

– il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico;

– le attività principali del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare o sistematico degli interessati su larga scala;

– le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’art 9 o di dati relativi a condanne penali e reati di cui all’art. 10.

Nonostante la previsione normativa, non è sempre agevole capire se la nostra realtà aziendale rientri o meno nei casi in cui la nomina del DPO risulta obbligatoria.

Malgrado le definizioni “monitoraggio sistematico” e “larga scala” non siano delineate dal Regolamento europeo, le linee guida sui responsabili della protezione dei dati personali, forniscono elementi utili al fine di definirne il contenuto.

In particolare, al fine di stabilire se il trattamento posto in essere dalla nostra azienda sia su larga scala, è necessario valutare il numero dei soggetti interessati al trattamento; il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento; la durata e la persistenza dell’attività di trattamento e la sua portata geografica.

Per quel che concerne la definizione di monitoraggio regolare e sistematico degli interessati, il considerando 24 del Regolamento europeo vi ricomprende tutte le attività di tracciamento e profilazione su internet, anche per finalità di pubblicità comportamentale. Per le attività di trattamento che non avvengono online, il monitoraggio può essere definito regolare, se avviene, ad esempio, in modo continuo o ricorrente, mentre è sistematico se è organizzato o metodico.

Per tutte le informazioni  contatta il Servizio Privacy

Articoli correlati

    Privacy
    20 Luglio 2021
    Attacchi informatici alle aziende in aumento: informazione e formazione contro gli attacchi dei pirati del web
    Privacy
    09 Novembre 2020
    Google, l’Antitrust apre un’istruttoria per vederci chiaro sull’uso dei dati nelle campagne pubblicitarie
    Privacy
    30 Aprile 2021
    Attenzione ai sistemi di rilevazione delle presenze basati sui dati biometrici dei dipendenti. Se manca la base normativa si rischia la sanzione
    Privacy
    21 Maggio 2021
    VACCINAZIONI NEI LUOGHI DI LAVORO E RUOLO DEL MEDICO COMPETENTE: protezione dei dati e indicazioni generali sul trattamento. Le indicazioni del Garante Privacy: Provvedimento del 13 maggio 2021