Come ormai tutti sanno, entro il prossimo 25 maggio, molte organizzazioni dovranno avere un DPO – Data Protection Officer.
Riceviamo moltissime richieste di chiarimento in relazione alle aziende private che dovranno avere il DPO; cerchiamo di fare chiarezza.
Chi deve obbligatoriamente nominare il DPO?
- una pubblica amministrazione che tratta dati personali (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali);
- una organizzazione che effettua monitoraggio, regolare, sistematico e su larga scala degli interessati;
- una organizzazione che tratta, su larga scala, particolari categorie di dati sensibili o dati relativi a reati e condanne penali.
Ma quali sono queste ultime due categorie di organizzazioni, di tipo privato?
L’autorità Garante per le Protezione di Dati Personali, in una apposita faq, ha stilato un elenco non esaustivo di organizzazioni ed aziende private che ricadono nelle due ultime tipologie e che dovranno quindi nominarlo:
- istituti di credito;
- imprese assicurative;
- sistemi di informazione creditizia;
- società finanziarie;
- società di informazioni commerciali;
- società di revisione contabile;
- società di recupero crediti;
- istituti di vigilanza;
- partiti e movimenti politici;
- sindacati;
- caf e patronati;
- società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas);
- imprese di somministrazione di lavoro e ricerca del personale;
- società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione;
- società di call center;
- società che forniscono servizi informatici;
- società che erogano servizi televisivi a pagamento.
Attenzione: il soggetto nominato DPO dovrà essere comunicato al Garante (tra le altre incombenze, diverrà il suo punto di contatto con l’organizzazione); è stata predisposta una apposita procedura di comunicazione del RPD.