DOMANDA
Nel percorso di adeguamento di una PMI al GDPR, quali sono i criteri, le regole e le linee guida per decidere se occorre dotarsi o meno di un DPO?
RISPOSTA
A quasi due anni dall’applicazione del Regolamento (UE) 2016/679, molte Organizzazioni chiedono ancora se debbano dotarsi o meno di un RPD o DPO. La domanda sembra banale, ma non lo è affatto.
Nonostante il tempo trascorso da maggio 2018, la presenza online della pagina informativa del Garante e delle relative FAQ[1] sul DPO, è evidente che l’obbligatorietà ex Art. 37, par. 1, lett. a), b) e c) del GDPR non è facilmente riscontrabile.
Chi pone la domanda non individua un’immediata corrispondenza tra le caratteristiche della propria Organizzazione e le tre casistiche descritte nel GDPR, ovvero: enti pubblici, soggetti che effettuano monitoraggio regolare e sistematico degli interessati su larga scala e soggetti che trattano dati sensibili su larga scala.
Chi pone la domanda, inoltre, è spesso una PMI, che non trova il proprio business tra gli esempi riportati dallo stesso Garante o WP29[2], mediamente riferibili a società di notevoli dimensioni.
Allora è effettivamente necessaria qualche considerazione in più, frutto sia di conoscenza della normativa vigente, sia della capacità di declinare, in relazione alle operazioni di trattamento, i concetti generici di monitoraggio sistematico e larga scala[3].
È errato pensare che la dimensione o il fatturato aziendale possa essere il parametro decisionale chiave per l’adozione o meno del DPO. Diversamente, dovrebbe esserlo l’insieme delle operazioni di trattamento effettuate.
In ogni caso, poiché non esistono definizioni cui fare appello, il consiglio è quello di effettuare un’apposita valutazione, anche tramite un parere una tantum da parte di una figura specializzata.
Al contempo, credo che sia un errore strategico di business il ragionare solo in termini di obbligatorietà. Si riduce a livello di costi un’analisi che dovrebbe essere ben più ampia, poiché la consapevolezza dei diritti privacy degli interessati è in costante crescita e il mondo digitale, quello governato dai dati, è già il presente per lo sviluppo del core business di molte realtà.
Il supporto continuativo di una figura specializzata in ambito protezione dei dati personali (che non è la vecchia “privacy” cara ai giuristi) non deve essere percepito come un costo, ma come un possibile investimento per poter incrementare le proprie possibilità di utilizzo dei dati, in maniera lecita e rispettosa degli interessati, ovvero, nella maggior parte dei casi, dei clienti.
NOTE
[1] FAQ sul Responsabile della Protezione dei Dati (RPD) in ambito privato; FAQ sul Responsabile della Protezione dei dati (RPD) in ambito pubblico (in aggiunta a quelle adottate dal Gruppo Art. 29); FAQ relative alla procedura telematica per la comunicazione dei dati del RPD.
[2] Istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.
[3] Vedi le “Linee guida sui responsabili della protezione dei dati” del 5 aprile 2017, WP 243)
Mandate i vostri quesiti ai nostri esperti
Quesiti privacy: info@dpocc.it
