1. Chi è tenuto a designare un RPD (art. 37, paragrafo 1) ?

Sono tre i casi in cui il RGPD prevede la designazione obbligatoria di un RPD :

a) se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;

b) se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;

oppure

c) se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.

Si tenga presente che la designazione obbligatoria di un RPD può essere prevista anche in casi ulteriori in base alla legge nazionale o al diritto dell’Ue.

Inoltre, anche ove il regolamento non imponga in modo specifico la designazione di un RPD, può risultare utile procedere a tale designazione su base volontaria.

Il Gruppo di lavoro “Articolo 29” (WP29) incoraggia un approccio di questo genere.

#dpo #rpd #dataprotectionofficer #bigdata #dataprotection