Risposta:

La designazione del DPO è obbligatoria in tre ipotesi:  

  1. Se il trattamento di dati personali è effettuato da un’autorità pubblica o da un organismo pubblico
  2. quando le attività PRINCIPALI dell’organizzazione consistono in trattamenti che, richiedono il “monitoraggio regolare e sistematico” degli interessati “su larga scala”;
  3. quando le attività PRINCIPALI dell’organizzazione consistono nel trattamento “su larga scala” di dati “sensibili” (rectius, “categorie particolari di dati”) o “giudiziari” (rectius, “dati personali relativi a condanne penali e reati”).

Il Garante per la Privacy ha istituito un sistema di Comunicazione dei dati di contatto del Responsabile della Protezione dei Dati - RPD disponibile all'indirizzo: https://servizi.gpdp.it/comunicazione-rpd/ prevedendo anche la modulistica per la comunicazione della revoca disponibile a questo link

Il gruppo di lavoro europeo ha approfondito ruolo e funzioni del DPO. Si veda:

Data protection officers Guidelines on Data Protection Officers ('DPO'), WP243 rev.01

Per approfondimenti:

GDPR e organizzazione (nomina DPO) - 29 aprile 2018
https://youtu.be/JMWHxJgfkUY

GDPR  e privacy - Decalogo degli adempimenti (14 maggio 2018) 
https://youtu.be/naAUMoU-4bg

RPD Comunicazione dei dati di contatto Revoca (modello Garante) (aggiornamento al 3 agosto 2018)
http://www.omniavis.it/web/forum/index.php?topic=46146.0

-----------------------------------------------
Riferimenti normativi:

Art. 37-39 del regolamento UE 2016/679 (LINK)

Codice della privacy (LINK) e Decreto 101/2018 (LINK)

Per ulteriore materiale visita il Gruppo GDPR in Italia (LINK) e la sezione di approfondimento OV (LINK)

-----------------------------------------------
Contributo a cura di: dott. Simone Chiarelli