Indice dei contenuti

1. Chi è il DPO?

Il Responsabile della Protezione dei dati personali (“DPO“) è una figura prevista dall’art. 37 del Regolamento (UE) 2016/679 (di seguito “GDPR”). È il soggetto designato dal Titolare o dal Responsabile del trattamento per assolvere a funzioni di supporto e di controllo, consultive, formative e informative relativamente all’applicazione del GDPR.

2. Chi può essere nominato DPO?

Il ruolo del DPO può essere ricoperto da un dipendente del Titolare o del Responsabile del trattamento (che non sia in conflitto di interessi) e che conosca la realtà operativa in cui avvengono i trattamenti.

Il DPO può essere anche un soggetto esterno, come, ad esempio, un avvocato che si occupa di consulenza privacy. In entrambi i casi, i soggetti designati devono essere in grado di garantire l’effettivo assolvimento dei compiti che il GDPR assegna a tale figura.

3. Come nominare il DPO?

Il DPO scelto andrà nominato mediante specifico atto di designazione (ad es. lettera d’incarico), mentre quello scelto all’esterno, che dovrà avere le medesime prerogative e tutele di quello interno, dovrà operare in base a un contratto di servizi (art. 37, par. 6 del GDPR).

Tali atti, da redigere in forma scritta, dovranno contenere:

la designazione del DPO;
i compiti del DPO;
le risorse assegnate al DPO;
qualsiasi informazione utile in rapporto al contesto di riferimento.

Il Titolare o il Responsabile del trattamento mantengono comunque la piena responsabilità in ordine all’osservanza della normativa in materia di protezione dei dati.

4. Cosa deve contenere la nomina di un DPO?

La nomina di un DPO deve contenere almeno i seguenti compiti:

a) informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal GDPR nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
b) sorvegliare l’osservanza del GDPR, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35 GDPR;
d) cooperare con il Garante Privacy e fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36 GDPR, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione;
e) deve essere tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali, anche con riferimento ad attività di interlocuzione con l’Autorità.

Tra i compiti di controllo del DPO rientrano, in particolare:

la raccolta di informazioni per individuare i trattamenti svolti;
l’analisi e la verifica dei trattamenti in termini di loro conformità,
l’attività di informazione, consulenza e indirizzo nei confronti di Titolare o Responsabile.

Il controllo sul rispetto del GDPR non significa che il DPO sia personalmente responsabile in caso di inosservanza. Il GDPR chiarisce che spetta al Titolare, e non al DPO mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR (articolo 24, paragrafo 1).

Il rispetto delle norme in materia di protezione dei dati fa parte della responsabilità d’impresa del Titolare del trattamento, non del DPO.

Il Titolare si dovrebbe consultare con il DPO, tra le altre, sulle seguenti tematiche:

se condurre o meno una DPIA;
quale metodologia adottare nel condurre una DPIA (art. 35 GDPR);
se condurre la DPIA con le risorse interne ovvero esternalizzandola;
quali salvaguardie applicare, comprese misure tecniche e organizzative, per attenuare i rischi per i diritti e gli interessi delle persone interessate;
se la DPIA sia stata condotta correttamente o meno, e se le conclusioni raggiunte (procedere o meno con il trattamento, e quali salvaguardie applicare) siano conformi al GDPR.

5. Quali requisiti deve avere il DPO?

Per essere nominati DPO non servono specifiche attestazioni formali o l’iscrizione in appositi albi, ma è necessario possedere un’approfondita conoscenza della normativa e delle prassi in materia di protezione dei dati personali, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.

Il DPO deve essere in grado di offrire professionalità adeguata alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema di gestione dei dati personali, coadiuvando il titolare o il responsabile del trattamento nell’adozione di un complesso di misure organizzative (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare.

Il DPO deve inoltre agire in piena indipendenza (considerando 97 GDPR) e autonomia, senza ricevere istruzioni in ordine all’esecuzione dei menzionati compiti e riferendo direttamente ai vertici del titolare o del responsabile del trattamento (art. 38, par. 3 del GDPR).

Il DPO deve poter disporre, infine, di risorse (personale, locali, attrezzature, ecc.) necessarie per l’espletamento dei propri compiti (art. 38, par. 2 del GDPR).

6. Posso nominare come DPO un soggetto esterno all’azienda?

Si, ad esempio, molte aziende hanno nominato come DPO avvocati esterni all’azienda tramite la sottoscrizione di un contratto di servizi.

La funzione di DPO può essere esercitata anche in base a un contratto di servizi stipulato con una persona fisica o giuridica esterna all’organismo o all’azienda Titolare/Responsabile del trattamento.

In tal caso, è indispensabile che ciascun soggetto appartenente alla persona giuridica e operante quale DPO soddisfi tutti i requisiti richiesti dal GDPR. A titolo meramente esemplificativo e non esaustivo, è indispensabile che nessuno di tali soggetti versi in situazioni di conflitto di interessi. Pari importanza riveste il fatto che ciascuno dei soggetti in questione goda delle tutele previste dal GDPR: per esempio, non è ammissibile la risoluzione ingiustificata del contratto di servizi in rapporto alle attività svolte in quanto DPO, né è ammissibile l’ingiustificata rimozione di un singolo appartenente alla persona giuridica che svolga funzioni di DPO. Al contempo, si potranno associare le competenze e le capacità individuali affinché il contributo collettivo fornito da più soggetti consenta di rendere alla clientela un servizio più efficiente.

7. Quando è obbligatoria la nomina del DPO?

La nomina del DPO è obbligatoria nei casi previsti dall’art. 37, par. 1, lettere a), b) e c) del GDPR:

a) quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) se le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; oppure
c) se le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento su larga scala di categorie particolari di dati (art. 9 GDPR) o di dati personali relativi a condanne penali e reati.

Autorità Pubblica o organismo pubblico

Nel GDPR non si rinviene alcuna definizione di autorità pubblica o organismo pubblico. Si ritiene che tale definizione debba essere conforme al diritto nazionale; conseguentemente, sono autorità pubbliche o organismi pubblici le autorità nazionali, regionali e locali ma, a seconda del diritto nazionale applicabile, la nozione ricomprende anche tutta una serie di altri organismi di diritto pubblico.

Attività principali

L’espressione attività principali non va interpretata nel senso di escludere quei casi in cui il trattamento di dati costituisce una componente inscindibile dalle attività svolte dal Titolare o dal Responsabile del trattamento. Per esempio, l’attività principale di un ospedale consiste nella prestazione di assistenza sanitaria, ma non sarebbe possibile prestare tale assistenza nel rispetto della sicurezza e in modo efficace senza trattare dati relativi alla salute, come le informazioni contenute nella cartella sanitaria di un paziente. Ne deriva che il trattamento di tali informazioni deve essere annoverato fra le attività principali di qualsiasi ospedale, e che gli ospedali sono tenuti a nominare un DPO. Un altro esempio è rappresentato dalle imprese di sicurezza privata incaricate della sorveglianza di più centri commerciali e aree pubbliche. L’attività principale dell’impresa consiste nella sorveglianza, e questa, a sua volta, è legata in modo inscindibile al trattamento di dati personali. Ne consegue che anche l’impresa in oggetto deve nominare un DPO. Un ultimo esempio, è rappresentato dalle società che gestiscono le mense scolastiche, la cui attività principale è predisporre i pasti per gli studenti, ma non potrebbero svolgere la propria attività senza conoscere le condizioni di salute delle persone, eventuali allergie o intolleranze alimentari. Conseguentemente, anche in questi casi la nomina del DPO è obbligatoria.

Monitoraggio regolare e sistematico

Il concetto di monitoraggio regolare e sistematico degli interessati non trova definizione all’interno del GDPR. Tuttavia, il considerando 24 menziona il “monitoraggio del comportamento di detti interessati” ricomprendendovi senza dubbio tutte le forme di tracciamento e profilazione su Internet anche per finalità di pubblicità comportamentale. La nozione di monitoraggio non trova, però, applicazione solo con riguardo all’ambiente online e, comunque, il tracciamento online va considerato solo uno dei possibili esempi di monitoraggio del comportamento degli interessati.

L’aggettivo regolare ha almeno uno dei seguenti significati:

che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito;
ricorrente o ripetuto a intervalli costanti;
che avviene in modo costante o a intervalli periodici.

L’aggettivo sistematico ha almeno uno dei seguenti significati:

che avviene per sistema;
predeterminato, organizzato o metodico;
che ha luogo nell’ambito di un progetto complessivo di raccolta di dati;
svolto nell’ambito di una strategia.

Ecco alcune esemplificazioni di attività che possono configurare un monitoraggio regolare e sistematico di interessati:

curare il funzionamento di una rete di telecomunicazioni;
la prestazione di servizi di telecomunicazioni;
il reindirizzamento di messaggi di posta elettronica;
attività di marketing basate sull’analisi dei dati raccolti;
profilazione e scoring per finalità di valutazione del rischio (per esempio, a fini di valutazione del rischio creditizio, definizione dei premi assicurativi, prevenzione delle frodi, accertamento di forme di riciclaggio);
tracciamento dell’ubicazione, per esempio da parte di app su dispositivi mobili;
programmi di fidelizzazione;
pubblicità comportamentale;
monitoraggio di dati relativi allo stato di benessere psicofisico, alla forma fisica e alla salute attraverso dispositivi indossabili;
utilizzo di telecamere a circuito chiuso;
dispositivi connessi quali, a titolo meramente esemplificativo, contatori intelligenti, automobili intelligenti, dispositivi per la domotica.

Larga Scala

In base all’articolo 37, paragrafo 1, lettere b) e c), del GDPR, occorre che il trattamento di dati personali avvenga su larga scala per far scattare l’obbligo di nomina di un DPO. Nel GDPR non si dà alcuna definizione di trattamento su larga scala, anche se fornisce indicazioni in proposito.

Per trattamenti su larga scala si intendono i trattamenti che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato (Considerando 91 GDPR).

Ecco alcuni elementi di cui tener conto per determinare se un trattamento possa essere o meno essere definito su larga scala:

il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
la durata, ovvero la persistenza, dell’attività di trattamento;
la portata geografica dell’attività di trattamento.

Qui di seguito alcuni esempi di trattamento su larga scala:

trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività;
trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale;
trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici;
trattamento di dati relativi a pazienti svolto da un ospedale nell’ambito delle ordinarie attività;
trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio);
trattamento di dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile del trattamento specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food.

Dati personali relativi a condanne penali e reati

Le disposizioni dell’articolo 37, paragrafo 1, lettera c), GDPR, riguardano il trattamento di categorie particolari di dati ai sensi dell’articolo 9 e di dati personali relativi a condanne penali e a reati di cui all’articolo 10 GDPR. Nonostante l’utilizzo della congiunzione “e” nel testo, non vi sono motivazioni sistematiche che impongano l’applicazione simultanea dei due criteri. Pertanto, il testo deve essere interpretato come se recasse la congiunzione “o”.

8. Può accadere che il Titolare non sia obbligato alla nomina del DPO e lo sia il suo Responsabile del trattamento?

Si. Ad esempio, una piccola azienda a conduzione familiare operante nel settore della distribuzione di elettrodomestici in una città si serve di un responsabile del trattamento la cui attività principale consiste nel fornire servizi di tracciamento degli utenti del sito web oltre all’assistenza per attività di pubblicità e marketing mirati. Le attività svolte dall’azienda e dai clienti non generano trattamenti di dati “su larga scala”, in considerazione del ridotto numero di clienti e della gamma relativamente limitata di attività. Tuttavia, il Responsabile del trattamento, che conta numerosi clienti come questa piccola azienda familiare, svolge, nel suo complesso, trattamenti su larga scala. Ne deriva che il Responsabile del trattamento deve nominare un DPO ai sensi dell’articolo 37, paragrafo 1, lettera b); al contempo, l’azienda (il Titolare) in quanto tale non è soggetta all’obbligo di nomina del DPO.

9. Cosa è consigliato fare se non si ritiene obbligatoria la nomina del DPO all’interno della propria società?

Se i Titolari e Responsabili del trattamento ritengono che non sussista l’obbligo di nominare il DPO, è sempre raccomandato documentare le valutazioni compiute all’interno dell’azienda per stabilire se si applichi o meno l’obbligo di nomina di un DPO. In altre parole, ciò che metterebbe al sicuro Titolari e Responsabili del trattamento da eventuali responsabilità, è la redazione di un report che evidenzi le ragioni in base alle quali hanno deciso di non nominare un DPO. In questo modo, Titolari e Responsabili saranno in grado di dimostrare che l’analisi ha preso in esame correttamente tutti i fattori alla base della nomina obbligatoria del DPO. Tale analisi fa parte della documentazione da produrre in base al principio di responsabilizzazione e può essere richiesta dall’autorità di controllo in caso di ispezione. La documentazione dovrebbe essere aggiornata ove necessario. Ad esempio, se i titolari del trattamento o i responsabili del trattamento intraprendono nuove attività o forniscono nuovi servizi che potrebbero ricadere nel novero dei casi elencati all’articolo 37, paragrafo 1, lettere b) e c.

Se si procede alla nomina di un DPO su base volontaria, troveranno comunque applicazione gli articoli 37-39 GDPR.

10. Quanti DPO si devono nominare in un Gruppo imprenditoriale?

Un gruppo imprenditoriale può nominare un unico DPO, a condizione che sia facilmente raggiungibile da ciascuno stabilimento.

11. Pubblicità e comunicazione del DPO al Garante

Il Titolare del trattamento o il Responsabile del trattamento pubblica i dati di contatto del DPO (A titolo meramente esemplificativo, pubblica i dati di contatto sul sito web) e li comunica al Garante Privacy.

12. Accessibilità e localizzazione DPO

L’accessibilità del DPO deve essere effettivamente tale. Per garantire tale accessibilità, il DPO dovrebbe essere localizzato nel territorio dell’Unione europea, indipendentemente dal fatto che il Titolare del trattamento o il Responsabile del trattamento siano stabiliti nell’UE.

13. Indipendenza DPO

Il Titolare del trattamento e il Responsabile del trattamento si assicurano che il DPO non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti.

Il DPO riferisce direttamente al vertice gerarchico del Titolare del trattamento (es. CEO) o del Responsabile del trattamento.

Tuttavia, l’autonomia del DPO non significa che quest’ultimo disponga di un margine decisionale superiore al perimetro dei compiti fissati. Il Titolare del trattamento o il Responsabile del trattamento mantengono la piena responsabilità dell’osservanza della normativa in materia di protezione dei dati e devono essere in grado di dimostrare tale osservanza.

14. Il DPO può essere rimosso o penalizzato in rapporto all’adempimento dei suoi compiti?

No, non è consentito. Per esempio, un DPO può ritenere che un determinato trattamento comporti un rischio elevato e quindi raccomandare al Titolare del trattamento o al Responsabile del trattamento di condurre una valutazione di impatto, ma questi ultimi potrebbero non concordare con la valutazione del DPO. In casi del genere, ad esempio, non è ammissibile che il DPO sia rimosso dall’incarico per avere formulato la raccomandazione in oggetto, che potrebbe comportare anche un maggior costo per l’azienda.

Le penalizzazioni possono assumere molte forme e avere natura diretta o indiretta. Per esempio, potrebbero consistere nella mancata o ritardata promozione, nel blocco delle progressioni di carriera, nella mancata concessione di incentivi rispetto ad altri dipendenti.Non è necessario che si arrivi all’effettiva applicazione di una penalizzazione, essendo sufficiente anche la sola minaccia nella misura in cui sia rivolta al DPO in rapporto alle attività da questi svolte.

15. Segretezza e riservatezza del DPO

Il DPO è tenuto al segreto o alla riservatezza in merito all’adempimento dei propri compiti. Questi elementi andrebbero regolamentati di volta in volta nell’atto di nomina.

16. Conflitto di interessi del DPO

Il DPO può svolgere anche altri compiti e funzioni. Il Titolare del trattamento o il Responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi.

17. Il DPO deve essere coinvolto nella gestione aziendale?

Si, il DPO, o il suo team di collaboratori, deve essere coinvolto in ogni questione attinente la protezione dei dati. Per quanto concerne le valutazioni di impatto sulla protezione dei dati, il regolamento prevede espressamente che il DPO sia coinvolto fin dalle fasi iniziali e il Titolare del trattamento ha l’obbligo di consultarlo nell’effettuazione di tali valutazioni.

Ad esempio, ciò significa:

che il DPO sia invitato a partecipare su base regolare alle riunioni del management di alto e medio livello;
sia necessaria la presenza del DPO ogniqualvolta debbano essere assunte decisioni che impattano sulla protezione dei dati;
che il DPO debba disporre tempestivamente di tutte le informazioni pertinenti in modo da poter rendere una consulenza idonea;
in caso di disaccordo, si consiglia di documentare le motivazioni che hanno portato a condotte difformi da quelle raccomandate dal DPO;
che il DPO sia consultato tempestivamente qualora si verifichi una violazione dei dati o un altro incidente.

18. L’analisi preventiva sulla nomina del DPO si ispira al principio di responsabilizzazione

Tranne quando sia evidente che un soggetto non è tenuto a nominare un DPO, i Titolari del trattamento e Responsabili del trattamento dovrebbero documentare le valutazioni compiute all’interno dell’azienda o dell’ente per stabilire se si applichi o meno l’obbligo di nomina di un DPO, così da poter dimostrare che l’analisi ha preso in esame correttamente i fattori pertinenti. Tale analisi fa parte della documentazione da produrre in base al principio di responsabilizzazione. Può essere richiesta dall’Autorità Garante e dovrebbe essere aggiornata ove necessario, per esempio, se i Titolari del trattamento o i Responsabili del trattamento intraprendono nuove attività o forniscono nuovi servizi che potrebbero ricadere nel novero dei casi che richiedono la nomina del DPO.

19. Alcuni esempi di attività commerciali nell’ambito delle quali potrebbe essere necessario nominare un DPO

A. MARKETING COMPANY

Le società di marketing possono trattare una vasta gamma di dati personali al fine di analizzare il comportamento dei consumatori e creare campagne di marketing mirate. Alcuni esempi di dati personali che le società di marketing potrebbero trattare includono:

dati demografici: informazioni come età, sesso, stato civile, occupazione, istruzione, reddito, ecc.;
dati di contatto: indirizzi e-mail, numeri di telefono, indirizzi postali, ecc.;
dati di localizzazione: informazioni sulla posizione geografica degli utenti, ottenute tramite GPS, indirizzi IP o altri mezzi;
dati di navigazione online: Informazioni sui siti web visitati, le pagine visualizzate, i prodotti acquistati o cercati online;
dati di interazione sui social media: informazioni su like, condivisioni, commenti e altre interazioni con contenuti sui social media;
dati comportamentali: informazioni sull’utilizzo di prodotti o servizi, le preferenze di acquisto, le abitudini di consumo, ecc.;
dati di appartenenza a gruppi o comunità: informazioni su interessi specifici, affiliati politici, appartenenza a club o associazioni, ecc..

Questi sono solo alcuni esempi e la gamma completa di dati trattati dalle società di marketing può variare notevolmente a seconda delle strategie di marketing specifiche e dei tipi di servizi offerti.

Le marketing company rientrano tra le società che devono nominare un DPO obbligatoriamente per legge, ma qualora l’analisi riveli una situazione dubbia, tenuto conto della tipologia di attività svolta, è fortemente consigliata la nomina del DPO su base volontaria.

B. SOCIETA’ PROPRIETARIE DI APP CHE CONTROLLANO LO STATO PSICOFISICO DI UNA PERSONA

Le App che monitorano lo stato psicofisico delle persone possono trattare una vasta gamma di dati personali, a seconda delle funzionalità offerte e delle informazioni richieste dall’utente. Alcuni esempi di dati personali che potrebbero essere trattati includono:

informazioni di base: nome, età, sesso, altezza, peso e altre informazioni demografiche;
dati relativi all’attività fisica: numero di passi, distanza percorsa, calorie bruciate, durata e intensità dell’esercizio fisico;
dati relativi al sonno: tempo trascorso a dormire, qualità del sonno, fasi del sonno (leggero, profondo, REM), movimenti durante il sonno;
dati relativi alla frequenza cardiaca: frequenza cardiaca a riposo, variazioni della frequenza cardiaca durante l’attività fisica e il riposo;
dati relativi allo stress: misurazioni della variabilità della frequenza cardiaca, monitoraggio del livello di stress percepito;
dati relativi alla salute mentale: umore, livelli di ansia, depressione o altri stati emotivi, dati relativi alla gestione dello stress;
dati relativi alla nutrizione: alimenti consumati, conteggio delle calorie, monitoraggio dell’apporto nutrizionale;
dati relativi al benessere emotivo: abitudini di meditazione, mindfulness, pratiche di relax.

È importante notare come molti di questi dati rientrino nei dati particolari (ex art. 9 GDPR). Pertanto, in questi casi il DPO dovrà essere nominato obbligatoriamente.

C. SOCIETA’ PROPRIETARIE DI DISPOSITIVI PER LA DOMOTICA

I dispositivi di domotica possono trattare una vasta gamma di dati personali a seconda delle loro funzioni e delle informazioni che raccolgono. Alcuni esempi di dati personali che potrebbero essere trattati includono:

Informazioni sull’identità: nome, cognome, foto, informazioni di contatto come indirizzo e-mail o numero di telefono;
dati di localizzazione: informazioni sulla posizione dell’utente o dei dispositivi all’interno della casa;
dati biometrici: dati relativi al riconoscimento facciale, impronte digitali o altri segni biometrici utilizzati per l’autenticazione;
abitudini di utilizzo: informazioni sull’utilizzo dei dispositivi domestici, come orari di attivazione/spegnimento di luci, regolazione del termostato, apertura/chiusura di porte, ecc.;
dati relativi alla salute: se i dispositivi sono utilizzati per scopi di monitoraggio della salute, potrebbero raccogliere dati come la frequenza cardiaca, i livelli di attività fisica, la qualità del sonno, ecc.;
dati relativi alla sicurezza: Informazioni riguardanti l’attività di sorveglianza, come registrazioni video o audio;
dati finanziari: se i dispositivi sono collegati a sistemi di pagamento o transazioni finanziarie.

È importante che i produttori o, comunque, i fornitori di servizi di domotica conducano una attenta analisi della propria attività, per accertare l’obbligo di nomina del DPO o per valutare la sua nomina su base volontaria.

Avv. Gianfranco Leggio

(Aggiornato al 27 maggio 2024)

Chi è il Data Protection Officer (DPO) e cosa deve fare

Indice dei contenuti

1. Chi è il DPO?

2. Chi può essere nominato DPO?

3. Come nominare il DPO?

4. Cosa deve contenere la nomina di un DPO?

5. Quali requisiti deve avere il DPO?

6. Posso nominare come DPO un soggetto esterno all’azienda?

7. Quando è obbligatoria la nomina del DPO?

8. Può accadere che il Titolare non sia obbligato alla nomina del DPO e lo sia il suo Responsabile del trattamento?

9. Cosa è consigliato fare se non si ritiene obbligatoria la nomina del DPO all’interno della propria società?

10. Quanti DPO si devono nominare in un Gruppo imprenditoriale?

11. Pubblicità e comunicazione del DPO al Garante

12. Accessibilità e localizzazione DPO

13. Indipendenza DPO

14. Il DPO può essere rimosso o penalizzato in rapporto all’adempimento dei suoi compiti?

15. Segretezza e riservatezza del DPO

16. Conflitto di interessi del DPO

17. Il DPO deve essere coinvolto nella gestione aziendale?

18. L’analisi preventiva sulla nomina del DPO si ispira al principio di responsabilizzazione

19. Alcuni esempi di attività commerciali nell’ambito delle quali potrebbe essere necessario nominare un DPO

Se hai bisogno di assistenza per nominare un DPO o hai intenzione di affidare l’incarico di DPO a un soggetto esterno Prenota una consulenza

Chi è il Data Protection Officer (DPO) e cosa deve fare

Indice dei contenuti

1. Chi è il DPO?

2. Chi può essere nominato DPO?

3. Come nominare il DPO?

4. Cosa deve contenere la nomina di un DPO?

5. Quali requisiti deve avere il DPO?

6. Posso nominare come DPO un soggetto esterno all’azienda?

7. Quando è obbligatoria la nomina del DPO?

8. Può accadere che il Titolare non sia obbligato alla nomina del DPO e lo sia il suo Responsabile del trattamento?

9. Cosa è consigliato fare se non si ritiene obbligatoria la nomina del DPO all’interno della propria società?

10. Quanti DPO si devono nominare in un Gruppo imprenditoriale?

11. Pubblicità e comunicazione del DPO al Garante

12. Accessibilità e localizzazione DPO

13. Indipendenza DPO

14. Il DPO può essere rimosso o penalizzato in rapporto all’adempimento dei suoi compiti?

15. Segretezza e riservatezza del DPO

16. Conflitto di interessi del DPO

17. Il DPO deve essere coinvolto nella gestione aziendale?

18. L’analisi preventiva sulla nomina del DPO si ispira al principio di responsabilizzazione

19. Alcuni esempi di attività commerciali nell’ambito delle quali potrebbe essere necessario nominare un DPO

Se hai bisogno di assistenza per nominare un DPO o hai intenzione di affidare l’incarico di DPO a un soggetto esterno Prenota una consulenza

Ti è piaciuto lʼarticolo? Condividilo