DOMANDA
In un contesto di azienda familiare di medie dimensioni, sono soggetto alla designazione del DPO (Data Protection Officer)? In caso negativo, potrebbe comunque essere consigliabile utilizzare questa figura?
MP
RISPOSTA
Secondo le indicazioni del Garante non si deve nominare un DPO nei casi di “trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti”.
Ai sensi dell’art. 37, primo paragrafo, del GDPR, la nomina del DPO in ambito di piccole o medie imprese è obbligatoria solo nei seguenti casi:
- se le attività di trattamento dalle stesse effettuate richiedono un “monitoraggio regolare e sistematico” degli interessati;
- in caso affermativo, se tale monitoraggio è effettuato “su larga scala”;
- se tale monitoraggio si può considerare “attività principale”.
Si segnala che il WP29 incoraggia comunque la nomina del Data protection officer, anche quando il GDPR non la richiede espressamente. Bisogna tener conto che, in caso di nomina di un DPO su base volontaria, si applicheranno comunque gli stessi requisiti previsti dal GDPR sulla sua designazione, ruolo e compiti, come se la nomina fosse stata obbligatoria.
Il WP29 precisa inoltre che una organizzazione non obbligata a nominare il Data Protection Officer può comunque utilizzare staff o consulenti esterni con compiti relativi al trattamento dei dati personali che, al fine di evitare ulteriori aggravi di gestione, possono non essere stati formalmente incaricati come DPO.
Mandate i vostri quesiti ai nostri esperti
Quesiti legal: espertolegal@cybersecurity360.it
Quesiti tecnologici: espertotech@cybersecurity360.it
