Il GDPR ha introdotto la figura del Responsabile della Protezione dei Dati o anche Data Protection Officer (anche noto con le abbreviazioni RPD o DPO) che rappresenta uno degli elementi chiave all’interno del nuovo sistema di governance dei dati.
Non tutte le realtà, però, sono obbligate a procedere con la nomina del RPD o DPO, il GDPR indica espressamente i casi in cui la nomina è obbligatoria e questi sono:
1) quando il trattamento è svolto da un’autorità pubblica o da un organismo pubblico (ne sono alcuni esempi: le Amministrazioni dello Stato, i Comuni, le Regioni, le Università, le Scuole pubbliche, le Camere di Commercio, le aziende del Servizio sanitario nazionale);
2) quando le attività principali del titolare del trattamento o del responsabile esterno del trattamento consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala. Rientrano in questa seconda ipotesi le società che forniscono servizi di telecomunicazioni, istituti di credito, imprese assicurative,…);
3) quando le attività principali del titolare del trattamento o del responsabile esterno del trattamento consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relative a condanne penali e reati (in questa ultima fattispecie potrebbero rientrare imprese di somministrazione lavoro e ricerca personale, società operanti nel settore della cura della salute della prevenzione/diagnostica sanitaria quali cliniche private, laboratori di analisi e centri di riabilitazione, società di call center,partiti e movimenti politici, sindacati, caf,…).
Il RPD o DPO deve essere nominato dal titolare o dal responsabile esterno del trattamento, su base obbligatoria ossia nei casi sopra indicati oppure per scelta, a seconda della tipologia dei casi trattati.
Pertanto, per conoscere se una realtà rientra in uno dei casi obbligati alla nomina del RPD o DPO è necessaria un’attenta analisi privacy della realtà medesima a seguito della quale il titolare o il responsabile esterno del trattamento decideranno in base al principio di accountability se procedere o meno con la nomina del RPD o DPO.
Malo (VI), 21/07/2023
avv. Elena Bassan