Quando è necessario nominare un DPO (RPD)
La regola è semplice: il DPO è obbligatorio solo in alcuni casi specifici. In tutti gli altri casi può essere nominato facoltativamente (e spesso è una buona scelta), ma non è “automatico”.
Obbligo di nomina: i 3 casi del GDPR
Il DPO è obbligatorio quando ricorre almeno una di queste condizioni (vale sia per titolari sia per responsabili del trattamento):
- Sei un’autorità pubblica o un organismo pubblico (con eccezioni per le autorità giudiziarie quando esercitano le loro funzioni).
- Le tue attività principali consistono in trattamenti che richiedono monitoraggio regolare e sistematico degli interessati su larga scala.
- Le tue attività principali consistono nel trattamento su larga scala di:
- categorie particolari di dati (es. salute, dati biometrici, ecc.), oppure
- dati relativi a condanne penali e reati.
In più: il GDPR prevede che la nomina possa essere richiesta anche da norme UE o nazionali in casi ulteriori.
Come capisci (davvero) se rientri nei casi 2 e 3
Qui l’errore tipico è confondere “tratto tanti dati” con “sono obbligato”. Non basta.
Cosa significa “attività principali”
“Attività principali” = ciò senza cui l’azienda non starebbe in piedi (il “core” del business), non attività accessorie tipo paghe, amministrazione, IT di base.
Esempio rapido:
- un ospedale: la sanità è core → dati salute core
- un’azienda qualsiasi: gestione buste paga non è “core”, è un supporto
Cosa significa “monitoraggio regolare e sistematico”
“Monitoraggio” = osservare e/o analizzare le persone nel tempo (es. profilazione, tracciamenti, scoring, controllo comportamentale). “Regolare e sistematico” = non occasionale, ma continuo o ricorrente.
Tipici casi che spesso rientrano:
- profilazione clienti su app/sito per marketing comportamentale
- call center con analisi strutturata e continuativa delle interazioni
- servizi digitali che tracciano utenti in modo ricorrente
Cosa significa “su larga scala”
Il GDPR non dà un numero fisso. In pratica si guarda a: quantità di persone, volume e frequenza del trattamento, durata, estensione geografica e impatto.
Esempi “tipici” dove spesso si parla di larga scala:
- sanità e diagnostica (molti pazienti)
- utilities e telco (molti utenti)
- assicurazioni, banche e credit scoring
- grandi piattaforme digitali con profiling/tracking
Se sei in una “zona grigia”, la scelta prudente è: valutazione motivata (e se serve, DPO).
Se nomini un DPO: cosa devi fare per essere conforme
Se il DPO è obbligatorio e non lo nomini, sei fuori compliance. Se lo nomini anche facoltativamente, devi comunque rispettare gli obblighi collegati.
In particolare:
- devi pubblicare i dati di contatto del DPO
- devi comunicarli al Garante (procedura online)
Quando NON è obbligatorio (ma spesso è una scelta intelligente)
Non sei obbligato “solo perché tratti dati personali”. Quasi tutti li trattano.
In genere non è obbligatorio per molte PMI tradizionali (es. servizi/produzione) che:
- trattano dati “ordinari” di clienti e dipendenti,
- non fanno profilazione e/o monitoraggio su larga scala,
- non trattano su larga scala dati particolari (salute, biometria, ecc.).
Detto questo, il DPO può essere molto utile se:
- hai molti fornitori digitali e cloud e vuoi presidio stabile
- ricevi audit e richieste di compliance dalla filiera
- introduci AI, tracciamenti, sistemi di controllo, sicurezza avanzata
- gestisci dati sensibili anche se non “enormi”, ma con impatto alto (es. sanitario, HR complesso)
La nostra regola SEF
Quando siamo coinvolti, facciamo così: