Risposta:

Il GDPR prevede all'art. 37 i casi in cui si debba obbligatoriamente procedere alla designazione del DPO (fermo restando la facoltà di ogni soggetto di nominarlo anche fuori da questi casi) e lo prevede sia per il titolare che per il responsabile del trattamento:

a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure

c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10.

Dalla definizione appare evidente che vi possono essere 3 casistiche:

1) no DPO+ no DPO

Si tratta dei casi in cui il titolare non rientra nelle casistiche indicate e non vi rientra neanche il responsabile. Sono forse i casi numericamente più frequenti nelle realtà private (piccole e medie imprese, associazioni ecc...) mentre non si può verificare nelle Pubbliche Amministrazioni

2) DPO+ no DPO

Si verifica allorquando il titolare tratta dati in una delle casistiche indicate dall'art. 37 oppure sia una Pubblica Amministrazione (o soggetto equiparato) e quindi abbia l'obbligo di nominare il DPO ma il responsabile, per le caratteristiche dei trattamenti (es. limitati ad alcuni ambiti, non riguardati dati a rischio ecc...) non è tenuto alla nomina del DPO. Sono forse i casi più frequenti nelle Pubbliche Amministrazioni medio-grandi dove il titolare deve nominare il DPO ma la società che gestisce il singolo software ne è esclusa

3) no DPO+ DPO

Si tratta dei casi in cui il titolare non è tenuto a nominare il DPO (es. si tratta di azienda medio-piccola che tratta pochi dati) ma il responsabile è tenuto perchè lavora con numerosissime aziende a cui fornisce ad esempio lo stesso software e quindi finisce per trattare dati su larga scala

4) DPO+ DPO

Si tratta di Pubbliche Amministrazioni e realtà aziendali medio-grandi che si avvalgono di fornitori medio-grandi o che comunque operano con molti soggetti e quindi in entrambi i casi rientrano nelle tipologie dell'art. 37

*****************

Il Garante per la Privacy ha istituito un sistema di Comunicazione dei dati di contatto del Responsabile della Protezione dei Dati - RPD disponibile all'indirizzo: https://servizi.gpdp.it/comunicazione-rpd/ prevedendo anche la modulistica per la comunicazione della revoca disponibile a questo link

Il gruppo di lavoro europeo ha approfondito ruolo e funzioni del DPO. Si veda:

Data protection officers Guidelines on Data Protection Officers ('DPO'), WP243 rev.01

Per approfondimenti:

GDPR e organizzazione (nomina DPO) - 29 aprile 2018
https://youtu.be/JMWHxJgfkUY

GDPR  e privacy - Decalogo degli adempimenti (14 maggio 2018) 
https://youtu.be/naAUMoU-4bg

RPD Comunicazione dei dati di contatto Revoca (modello Garante) (aggiornamento al 3 agosto 2018)
http://www.omniavis.it/web/forum/index.php?topic=46146.0

-----------------------------------------------
Riferimenti normativi:

Art. 37-39 del regolamento UE 2016/679 (LINK)

Codice della privacy (LINK) e Decreto 101/2018 (LINK)

Per ulteriore materiale visita il Gruppo GDPR in Italia (LINK) e la sezione di approfondimento OV (LINK)

-----------------------------------------------
Contributo a cura di: dott. Simone Chiarelli
PrivacyPopup

Privacy Policy