Chi ha l’obbligo di nominare un DPO?

La figura del Data Protection Officer è la vera novità introdotta dal regolamento UE 2016/679. Cerchiamo di fare chiarezza su alcuni aspetti che riguardano il DPO, a cominciare da chi ha l’obbligo di nominarlo.

La nomina della figura del DPO, ai sensi dell’art. 37, del Regolamento Europeo sul trattamento dei dati personali, è obbligatoria in tre ipotesi:

  1. se il trattamento di dati personali è effettuato da un’autorità pubblica o da un organismo pubblico;
  2. quando le attività principali dell’organizzazione consistono in trattamenti che, richiedono il “monitoraggio regolare e sistematico” degli interessati “su larga scala”;
  3. quando le attività principali dell’organizzazione consistono nel trattamento “su larga scala” di dati “sensibili” o “giudiziari”.

 Cosa significa “autorità pubblica o organismo pubblico”? 

Seguici su Facebook

Il Regolamento Europeo non definisce cosa costituisce “autorità pubblica” o “organismo pubblico”. Tale definizione, secondo il WP29, deve essere determinata in base al diritto di ogni nazione.

In Italia questa definizione comprende una serie di “altri organismi” di diritto pubblico, tuttavia si tratta principalmente di autorità nazionali, regionali e locali:

  1. Amministrazioni dello Stato, anche con ordinamento autonomo, enti pubblici non economici nazionali, regionali e locali;
  2. Regioni e enti locali;
  3. Università;
  4. Camere di commercio, industria, artigianato e agricoltura;
  5. Aziende del Servizio sanitario nazionale.

Cosa si intende per monitoraggio regolare e sistematico?

L’aggettivo “regolare” ha almeno uno dei seguenti significati: che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito; ricorrente o ripetuto a intervalli costanti; che avviene in modo costante o a intervalli periodici. L’aggettivo “sistematico” ha almeno uno dei seguenti significati: che avviene per sistema; predeterminato, organizzato o metodico; che ha luogo nell’ambito di un progetto complessivo di raccolta di dati; svolto nell’ambito di una strategia.

A titolo semplicemente esemplificativo quindi assolutamente non esaustivo, sono state individuate le seguenti categorie di  soggetti certamente tenuti alla nomina di un DPO: 

  1. istituti di credito;
  2. imprese assicurative;
  3. sistemi di informazione creditizia;
  4. società finanziarie;
  5. società di informazioni commerciali;
  6. società di revisione contabile;
  7. società di recupero crediti;
  8. istituti di vigilanza;
  9. partiti e movimenti politici;
  10. sindacati;
  11. caf e patronati;
  12. società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas);
  13. imprese di somministrazione di lavoro e ricerca del personale;
  14. società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione;
  15. società di call center;
  16. società che forniscono servizi informatici;
  17. società che erogano servizi televisivi a pagamento.
Richiedi una consulenza ai nostri professionisti del gdpr

In tutti gli altri casi, la designazione del responsabile del trattamento non è obbligatoria. Ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese.

Cosa si intende per “larga scala”?

In base all’articolo 37, paragrafo 1, lettere b) e c) del Regolamento Europeo occorre che il trattamento dei dati personali avvenga su “larga scala” per far scattare l’obbligo di nomina di un DPO. Il concetto di “larga scala” è del tutto generico e privo di un riferimento numerico per cui può suscitare molti dubbi e interpretazioni. Per trattamenti in larga scala si devono intendere come quelli che tendono al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale.

I fattori di riferimento per stabilire se un trattamento è effettuato su larga scala sono:

  1. il numero di soggetti interessati dal trattamento (in termini assoluti espressi in percentuale della popolazione di riferimento);
  2. il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
  3. la durata dell’attività di trattamento;
  4. la portata geografica dell’attività di trattamento.

Richiedi una consulenza

Facebook Comments