Quando è obbligatorio avere un DPO in azienda

Il Data Protection Officer o anche definito più comunemente con l’acronimo di DPO, è in sostanza il soggetto Responsabile per la Protezione dei Dati personali, la sua è una figura che è stata introdotta dal nuovo regolamento europeo in materia di protezione di dati personali, dall’art. 37 GDPR. Secondo quando ascritto dall’articolo summenzionato la sua nomina in azienda è obbligatoria in alcuni casi, il Regolamento per la protezione dei dati personali, infatti, prevede ben tre situazioni in cui la nomina del DPO deve essere effettuata obbligatoriamente.

La nomina obbligatoria del DPO: il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico

Secondo la normativa vigente, il DPO deve essere nominato obbligatoriamente quando il trattamento dei dati personali viene realizzato da un’autorità pubblica ovvero da un organismo pubblico, salvo le autorità giurisdizionali durante l’esercizio delle proprie funzioni giurisdizionali;

La nomina obbligatoria del DPO: i trattamenti che richiedono controllo continuo

Ancora, la nomina è obbligatoria allorquando le attività o i servizi offerti da una azienda, in relazione ai dati personali constano in trattamenti che, per loro endemica natura, richiedono il monitoraggio regolare e sistematico degli interessati ad ampio raggio.

La nomina obbligatoria del DPO: le categorie specifiche di dati personali

In ultima analisi, la nomina obbligatoria del DPO avviene quando le attività principali del titolare del trattamento consistono nel prestare una particolare categoria di dati personali inseriti nel novero degli artt. 9 e 10, dati relativi a condanne penali o anche e a reati di cui all’articolo.

Che ruolo ha il DPO?

Il Garante Privacy, nelle domande frequente alle quali ha risposto in relazione alla figura del DPO, ha previsto testualmente che “nei casi diversi da quelli previsti dall’art. 37, par. 1, lettere b) e c), del GDPR, la designazione del DPO non è obbligatoria”. Un esempio in tal senso sono i trattamenti effettuati da liberi professionisti che operano in forma individuale o che comunque non eseguono trattamenti di ampio raggio su un numero indeterminato di persone e così via.

In ogni caso, è segnalata come raccomandata, rispetto anche al principio di c.d. accountability che di matrice normativa che ingerisce nel GDPR, la designazione della figura del DPO di azienda.

C’è una sanzione per chi non nomina il DPO quando è obbligatorio?

È stato chiarito che l’inosservanza dell’obbligo di nominare il Responsabile per la protezione dei dati personali, ovvero il DPO, comporta la comminazione di una sanzione amministrativa pecuniaria fino a 10.000.000 di euro, mentre, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente.

Le sanzioni italiane per la mancata nomina del DPO

L’Italia si è adeguata a questo regime, ed il garante non si è attardato a farsi sentire in merito. Infatti, lo stesso ha emesso già due provvedimenti 

-il provvedimento n. 272/2020 nei confronti di un comune del nord Italia;

-l’ordinanza di ingiunzione nei confronti di Ministero dello Sviluppo Economico (11 febbraio 2021);

tutti e due sono stati provvedimenti sanzionatori relativi alla mancata nomina di un DPO.