Go to Top

Chi è obbligato a designare il DPO secondo il Gdpr?

Il Garante della Privacy ha pubblicato sul suo sito online nuove FAQ con alcuni chiarimenti sulla figura del Responsabile della protezione dei dati, conosciuto anche come DPO. Dopo le precisazioni sui requisiti e i compiti di questo ruolo, oggi analizziamo la sua designazione.

Chi è obbligato a designare il DPO secondo il Gdpr?

Il Gdpr prevede all’art. 37 l’obbligo di designazione del DPO per:

  • istituti di credito;
  • imprese assicurative;
  • sistemi di informazione creditizia;
  • società finanziarie;
  • società di informazioni commerciali;
  • società di revisione contabile;
  • società di recupero crediti;
  • istituti di vigilanza;
  • partiti e movimenti politici;
  • sindacati;
  • caf e patronati;
  • società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas);
  • imprese di somministrazione di lavoro e ricerca del personale;
  • società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione;
  • società di call center;
  • società che forniscono servizi informatici;
  • società che erogano servizi televisivi a pagamento.

La designazione del Dpo non è obbligatoria, invece, per:

  • liberi professionisti operanti in forma individuale;
  • agenti, rappresentanti e mediatori operanti non su larga scala;
  • imprese individuali o familiari;
  • piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti.

Il Gdpr prevede che un gruppo imprenditoriale possa designare un solo DPO, purchè sia facilmente raggiungibile da ciascuno stabilimento.

Il DPO può essere anche un soggetto esterno?

Il Garante ha precisato che secondo il Gdpr, il ruolo di responsabile della protezione dei dati personali può essere anche affidato a soggetti esterni, a condizione che garantiscano l’effettivo assolvimento dei compiti, mediante un contratto di servizi che dovrà indicare i compiti attribuiti, le risorse assegnate.

Ricordiamo che la responsabilità di osservare la normativa sulla tutela della privacy resta comunque del titolare o il responsabile del trattamento. Quest’ultimo dovrà pubblicare i dati del responsabile della protezione dei dati e comunicarli con apposito modulo all’Autorità di controllo.