Attività principale e nomina del DPO

Il Data Protection Officer (o Responsabile della Protezione dei Dati), è una figura di garanzia a tutela dei diritti degli interessati e, in generale, dell’osservanza della normativa contenuta nel Reg. UE 2016/679 (GDPR). Questa fondamentale figura di garanzia e dunque imparziale rispetto all’azienda che la nomina, è coinvolta in tutte le questioni riguardanti la protezione dei dati personali ed assiste la stessa in tutti gli adempimenti necessari per il corretto trattamento dei dati personali.

In alcuni casi tassativamente previsti dall’art 37 del GDPR, questa figura è obbligatoria. Al fine di evitare sanzioni che possono raggiungere anche i 10 milioni di euro o, per le imprese, il 2% del fatturato mondiale totale annuo dell’esercizio precedente, è quindi importantissimo non sottovalutare l’opportunità di investire di questo incarico un soggetto dotato di adeguate competenze tecniche di natura soprattutto giuridica ma anche trasversali a tutti campi del sapere utili a valutare opportunamente il grado di sicurezza e di rischio dei trattamenti effettuati in azienda. 

Tra le nozioni propedeutiche alla valutazione sull’obbligo di nomina, spicca quella di “attività principali” del titolare. Le interpretazioni possibili vanno da quella più restrittiva, per la quale rileverebbe la sola attività tipica dell’organizzazione in esame (sarebbero, dunque, obbligate alla nomina, solo aziende dedite al regolare e sistematico monitoraggio degli interessati su larga scala o al trattamento su larga scala di categorie particolari di dati come servizi erogati ai clienti) ad altre più estensive. Ad esempio il Sole24Ore, in un recente articolo, ha sostenuto che “Le strategie di marketing mirato finiscono dunque per saldare l’attività di promozione alla fase di vendita in modo molto più stretto. In questo senso non può escludersi che tali attività costituiscano una componente inscindibile dalle attività di produzione e vendita svolte in via principale e impongano la nomina del Dpo.

Esigenze di prudenza impongono di valutare attentamente la propria posizione, al fine di evitare l’elusione di un obbligo così importante. d’altra parte sembra ragionevole ritenere che non ogni azienda che si avvalga di Marketing con mezzi informatici debba nominare un DPO. La raccomandazione più importante che si possa dare è quella di farsi assistere, in questa delicata decisione, da un consulente di fiducia e qualificato, dotato delle competenze multidisciplinari necessarie a valutare attentamente gli elementi di fatto che distinguono ogni realtà imprenditoriale dalle altre e operare un corretto bilanciamento tra le esigenze di compliance e quelle di contenimento dei budget tipiche di ogni realtà aziendale.