Come sappiamo non tutte le aziende hanno l’obbligo di nominare un DPO, ciò non significa tuttavia che tali aziende non possano incorrere nelle sanzioni e nei danni reputazionali che una scorretta postura, rispetto alla norma europea, possono causare.
La nomina del DPO è quindi sempre consigliata.
L’articolo 37 del GDPR, precisa chi deve nominare il DPO: tutte le aziende del settore pubblico (ad eccezione delle autorità giurisdizionali quando esercitano le loro funzioni) e le aziende del settore privato, in alcuni casi. Ovvero, quando il titolare effettua trattamenti che comportano il “monitoraggio regolare e sistematico” degli interessati su larga scala o trattamenti su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e a reati.
Nomina DPO obbligatoria nelle aziende private
Tra le aziende che certamente incorrono nell’obbligo ricordiamo le banche, le assicurazioni e le società finanziarie, gli istituti di vigilanza, i partiti, i movimenti politici e i sindacati, i caf e i patronati. E ancora, tutte le imprese che operano nei settori delle telecomunicazioni, della distribuzione di energia elettrica o gas. Le società di somministrazione di lavoro e ricerca del personale, le imprese che operano nell’ambito della cura della salute e della prevenzione e diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione. Infine, l’obbligo ricade sulle aziende di call center e sulle società operanti nel settore della fornitura di servizi informatici o che offrono servizi televisivi a pagamento.
Questo elenco ha carattere esemplificativo, e non include ogni possibile azienda che rientri nei caratteri di obbligatorietà per quanto riguarda la designazione del DPO. È stato lo stesso Garante a precisarlo nelle FAQ rilasciate a integrazione della normativa europea in materia.