Ti serve un DPO?
Tre passaggi guidati (art. 37 GDPR, FAQ del Garante) per capire se la nomina del Responsabile della Protezione dei Dati è obbligatoria per la tua organizzazione.
Approfondimento
Obbligo di nomina del DPO: quando è richiesto dal GDPR
Il Responsabile della Protezione dei Dati (DPO, Data Protection Officer) è una figura prevista dagli articoli 37-39 del GDPR. La sua nomina è obbligatoria in tre casi: quando il trattamento è svolto da un’autorità o un organismo pubblico; quando l’attività principale consiste in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; quando l’attività principale consiste nel trattamento su larga scala di dati particolari (art. 9) o giudiziari (art. 10).
Al di fuori di questi casi la nomina è facoltativa, ma molte organizzazioni scelgono comunque di designare un DPO come presidio di governance. Questo strumento ti guida attraverso i criteri di legge per capire se, nel tuo caso, la nomina è obbligatoria, consigliata o non necessaria. Non sostituisce una valutazione legale sulla natura “su larga scala” dei tuoi trattamenti; ricevi l’esito in PDF via email.
Fai il Quiz GDPR Il tuo sito è conforme? Richiedi la nomina del DPO
Domande frequenti sull’obbligo di DPO
Chi è obbligato a nominare un DPO?
Le autorità e gli organismi pubblici, le organizzazioni la cui attività principale richiede il monitoraggio regolare e sistematico su larga scala degli interessati, e quelle la cui attività principale consiste nel trattamento su larga scala di dati particolari o giudiziari (art. 37 GDPR).
Cosa significa “monitoraggio su larga scala”?
Il concetto non è definito da soglie numeriche fisse. Si valutano il numero di interessati, il volume e la varietà dei dati, la durata del trattamento e la sua estensione geografica. Il monitoraggio “regolare e sistematico” include profilazione, tracciamento e sorveglianza continuativa.
Il DPO può essere interno o esterno?
Entrambi. Il DPO può essere un dipendente oppure un professionista esterno che opera in base a un contratto di servizi. In ogni caso deve possedere competenze specialistiche, operare in autonomia e senza conflitti di interesse, e riferire ai vertici.
Cosa rischia chi non nomina il DPO quando è obbligatorio?
La mancata nomina, quando dovuta, è una violazione soggetta a sanzione amministrativa fino a 10 milioni di euro o al 2% del fatturato mondiale annuo, oltre a rilievi in caso di ispezione del Garante.
La nomina facoltativa del DPO comporta gli stessi obblighi?
Sì. Se un’organizzazione designa volontariamente un DPO, questi è soggetto agli stessi requisiti e alle stesse tutele previsti per la nomina obbligatoria (artt. 37-39 GDPR).