DPO
Data Protection Officer
La designazione di un Data Protection Officer riflette l’approccio responsabilizzante proprio del Regolamento UE 679/2016, essendo finalizzata a facilitarne l’attuazione da parte del titolare del trattamento.
Oltre a favorire l’osservanza attraverso strumenti di accountability i DPO fungono da interfaccia tra i soggetti coinvolti: autorità di controllo, interessati, titolare del trattamento e soggetti interni all’organizzazione.
In base all’Art.37 del GDPR, la nomina è obbligatoria quando:
- il trattamento è svolto da un’autorità pubblica o da un organismo pubblico
- se le attività principali del titolare consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala
- se le attività principali del titolare consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.
Per attività principali si intendono le operazioni essenziali che sono necessarie al raggiungimento degli obiettivi perseguiti dal titolare del trattamento.
Con larga scala ci si riferisce a trattamenti di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale che potrebbero incidere su un vasto numero di interessati.
Per monitoraggio si intende il controllo del comportamento degli interessati; con regolare si intende che il trattamento avviene in modo continuo, ricorrente o costante e ad intervalli periodici.
Il trattamento è sistematico se è predeterminato, organizzato, metodico e ha luogo nell’ambito di un progetto complessivo di raccolta di dati e svolto nell’ambito di una strategia.
