Salta al contenuto
VERIFICA DPO

Ti serve un DPO?

Tre passaggi guidati (art. 37 GDPR, FAQ del Garante) per capire se la nomina del Responsabile della Protezione dei Dati è obbligatoria per la tua organizzazione.

Caricamento…

Approfondimento

Obbligo di nomina del DPO: quando è richiesto dal GDPR

Il Responsabile della Protezione dei Dati (DPO, Data Protection Officer) è una figura prevista dagli articoli 37-39 del GDPR. La sua nomina è obbligatoria in tre casi: quando il trattamento è svolto da un’autorità o un organismo pubblico; quando l’attività principale consiste in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; quando l’attività principale consiste nel trattamento su larga scala di dati particolari (art. 9) o giudiziari (art. 10).

Al di fuori di questi casi la nomina è facoltativa, ma molte organizzazioni scelgono comunque di designare un DPO come presidio di governance. Questo strumento ti guida attraverso i criteri di legge per capire se, nel tuo caso, la nomina è obbligatoria, consigliata o non necessaria. Non sostituisce una valutazione legale sulla natura “su larga scala” dei tuoi trattamenti; ricevi l’esito in PDF via email.

Domande frequenti sull’obbligo di DPO

Chi è obbligato a nominare un DPO?

Le autorità e gli organismi pubblici, le organizzazioni la cui attività principale richiede il monitoraggio regolare e sistematico su larga scala degli interessati, e quelle la cui attività principale consiste nel trattamento su larga scala di dati particolari o giudiziari (art. 37 GDPR).

Cosa significa “monitoraggio su larga scala”?

Il concetto non è definito da soglie numeriche fisse. Si valutano il numero di interessati, il volume e la varietà dei dati, la durata del trattamento e la sua estensione geografica. Il monitoraggio “regolare e sistematico” include profilazione, tracciamento e sorveglianza continuativa.

Il DPO può essere interno o esterno?

Entrambi. Il DPO può essere un dipendente oppure un professionista esterno che opera in base a un contratto di servizi. In ogni caso deve possedere competenze specialistiche, operare in autonomia e senza conflitti di interesse, e riferire ai vertici.

Cosa rischia chi non nomina il DPO quando è obbligatorio?

La mancata nomina, quando dovuta, è una violazione soggetta a sanzione amministrativa fino a 10 milioni di euro o al 2% del fatturato mondiale annuo, oltre a rilievi in caso di ispezione del Garante.

La nomina facoltativa del DPO comporta gli stessi obblighi?

Sì. Se un’organizzazione designa volontariamente un DPO, questi è soggetto agli stessi requisiti e alle stesse tutele previsti per la nomina obbligatoria (artt. 37-39 GDPR).