Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

ESPERTO RISPONDE

Il Data Protection Officer in aziende familiari di medie dimensioni: la nomina è obbligatoria?

04 Ott 2018

Gaia Rizzato

Trainee Information & Cyber Security presso P4I – Partners4Innovation

Marco Rizzi

Information & Cyber Security Advisor presso P4I – Partners4Innovation


DOMANDA

In un contesto di azienda familiare di medie dimensioni, sono soggetto alla designazione del DPO (Data Protection Officer)? In caso negativo, potrebbe comunque essere consigliabile utilizzare questa figura?

MP

RISPOSTA

Secondo le indicazioni del Garante non si deve nominare un DPO nei casi di “trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti”.

Ai sensi dell’art. 37, primo paragrafo, del GDPR, la nomina del DPO in ambito di piccole o medie imprese è obbligatoria solo nei seguenti casi:

  • se le attività di trattamento dalle stesse effettuate richiedono un “monitoraggio regolare e sistematico” degli interessati;
  • in caso affermativo, se tale monitoraggio è effettuato “su larga scala”;
  • se tale monitoraggio si può considerare “attività principale”.

Si segnala che il WP29 incoraggia comunque la nomina del Data protection officer, anche quando il GDPR non la richiede espressamente. Bisogna tener conto che, in caso di nomina di un DPO su base volontaria, si applicheranno comunque gli stessi requisiti previsti dal GDPR sulla sua designazione, ruolo e compiti, come se la nomina fosse stata obbligatoria.

Il WP29 precisa inoltre che una organizzazione non obbligata a nominare il Data Protection Officer può comunque utilizzare staff o consulenti esterni con compiti relativi al trattamento dei dati personali che, al fine di evitare ulteriori aggravi di gestione, possono non essere stati formalmente incaricati come DPO.

Mandate i vostri quesiti ai nostri esperti

Quesiti legal: espertolegal@cybersecurity360.it

Quesiti tecnologici: espertotech@cybersecurity360.it

@RIPRODUZIONE RISERVATA

Articolo 1 di 5