Quando è obbligatorio nominare un data protection officer (DPO)?

Il Regolamento Europeo del 25 maggio 2016 in materia di privacy ha introdotto una novità ed è rappresentata dalla figura del “data protection officer”,DPO, (cioè il responsabile della protezione dei dati).

La figura del DPO era già stata introdotto, come obbligatoria, in alcuni degli ordinamenti europei, tra cui l’Austria,Germania e la Repubblica Ceca.

Ad esempio in  Francia, la nomina di tale figura è facoltativa.

Negli ultimi tempi, grande è stato il dibattito sui casi nei quali sia obbligatorio per una azienda o un ente dover nominare un Data Protection Officer.(DPO)

A darci qualche delucidazione (senza tuttavia scacciare ogni dubbio sull’interpretazione) sono intervenute le Linee-guida del 13/12/2016 sui responsabili della protezione dei dati redatte da “Article 29 Working Party”,.

Un organismo indipendente, consultivo,composto da un rappresentante delle autorità di protezione dei dati personali designate da ciascuno Stato membro, dal GEPD (Garante europeo della protezione dei dati), nonché da un rappresentante della Commissione.

QUANDO LA NOMINA DIVENTA OBBLIGATORIA?

Il Regolamento (art. 37), ci dice che  la nomina del DPO è obbligatoria:

A) se il trattamento è svolto da un organismo pubblico o da un’autorità pubblica,fatta eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali; oppure
B) se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; oppure
C) se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.

Ricordiamo che la designazione obbligatoria di un DPO può essere obbligatoria anche in ulteriori casi in base alla legge nazionale o al diritto comunitario.

Anche se non imposta in maniera obbligatoria  la designazione di un DPO, in alcuni casi può risultare utile procedere a tale nomina su base volontaria.

Il Garante italiano,ed il Gruppo di lavoro “Articolo 29”, incoraggiano ad un approccio “cautelativo”.

Condividi

Facebook
LinkedIn