Chi ha bisogno di un responsabile della protezione dei dati?

Chi ha bisogno di un responsabile della protezione dei dati
Categorie:

Chi deve nominare un responsabile della protezione dei dati secondo le norme UE?

Le leggi sulla protezione dei dati dell'Unione europea e della Germania prevedono casi diversi in cui una Responsabile della protezione dei dati (DPO) deve essere nominato. Spesso si dimentica che, anche se queste norme non sono applicabili al vostro caso, tutte le aziende (così come tutti gli enti e le associazioni) devono rispettare le disposizioni del GDPR.

Ciò significa che, anche se non siete obbligati a farlo, dovreste comunque avere un responsabile della protezione dei dati che vi assista nell'adempimento dei vostri obblighi di protezione dei dati.

Articoli correlati dal nostro blog: Quali sono i costi di un responsabile della protezione dei dati? Leggi qui

Quando esiste l'obbligo di nominare un DPO in senso stretto?

 

L'obbligo secondo il diritto tedesco

La Germania ha adottato norme rigorose nella sua legge federale sulla protezione dei dati (§38).

Le aziende devono nominare un responsabile della protezione dei dati se venti persone sono coinvolte in modo permanente nel trattamento automatizzato dei dati personali. A questo proposito, si devono prendere in considerazione i seguenti elementi. Il numero di dipendenti di un'azienda può essere incluso nella valutazione complessiva. I dipendenti che non hanno accesso alle apparecchiature utilizzate per il trattamento dei dati personali, come il personale addetto alle pulizie o alle catene di montaggio, non devono essere presi in considerazione. Lo status delle persone che effettuano il trattamento all'interno dell'azienda è irrilevante. Non importa se si tratta di dipendenti a tempo pieno o a tempo parziale, di liberi professionisti o di lavoratori temporanei, nonché di tirocinanti, volontari e stagisti, e se anche la direzione fa parte delle venti persone sopra menzionate.
Di norma, l'obiettivo è sempre quello di garantire che le modifiche una tantum non vengano prese in considerazione.

Il solo numero di dipendenti non è sufficiente per escludere l'obbligo di designazione. Anche l'impatto delle attività dell'azienda sulle persone fisiche svolge un ruolo importante. Se è probabile che questo comporti un rischio elevato per i diritti delle persone fisiche, è necessario effettuare una valutazione d'impatto sulla protezione dei dati, ossia esaminare dettagliatamente i rischi e prendere in considerazione le misure che contribuiscono a ridurre tali rischi nell'azienda. Le aziende che effettuano trattamenti soggetti a tali valutazioni d'impatto sulla protezione dei dati non solo una volta, ma più frequentemente, devono anche nominare un responsabile della protezione dei dati. Se, ad esempio, una stazione di servizio deve effettuare una sola volta la valutazione d'impatto sulla protezione dei dati per l'installazione della videosorveglianza, non deve nominare un responsabile della protezione dei dati.

L'obbligo sussiste anche nel caso in cui la vostra azienda tratti i dati personali per scopi commerciali ai fini della trasmissione, laddove l'attività commerciale non deve essere interpretata in senso convenzionale, ossia comprende anche attività che non generano un profitto ma che vengono svolte per un certo periodo di tempo. In pratica, si tratta di aziende come le agenzie di credito che verificano la solvibilità delle persone o le aziende che forniscono a terzi i dati relativi agli indirizzi per scopi pubblicitari.
Il fatto che i dati siano trasmessi in forma anonima non costituisce un'eccezione all'obbligo di designazione. Se trattate dati personali per ricerche di mercato o di opinione per i clienti, dovete anche avere un responsabile della protezione dei dati.

L'obbligo previsto dal diritto dell'UE

Per contro, la maggior parte degli Stati membri dell'Unione Europea non ha adottato alcuna normativa specifica in merito al DPO, per cui è necessario tenere conto solo delle disposizioni del Regolamento generale sulla protezione dei dati (GDPR, articolo 37).

Ai sensi dell'art. 37 par. 1 lett. b GDPR, sussiste inizialmente un obbligo di designazione se l'attività principale dell'azienda richiede un ampio monitoraggio regolare e sistematico delle persone nel senso di osservarne il comportamento (ad esempio, il comportamento di clic di un utente sul sito web dell'azienda). Si deve tenere conto del numero di persone interessate, della quantità di dati trattati e dell'ambito geografico della raccolta dei dati, nonché della durata. A tal fine, devono essere incluse solo le operazioni di trattamento che sono continue o ripetute e che seguono un piano e un'organizzazione specifici.
Infine, va notato che anche le operazioni di trattamento che sono indissolubilmente legate all'attività principale dovrebbero essere considerate come una delle attività principali, come nel caso dei servizi sanitari negli ospedali, che non sono possibili senza il trattamento dei dati sanitari dei pazienti.

Esiste anche un obbligo di designazione (art. 37 par. 1 lett. c GDPR) se l'attività principale consiste nel trattamento esteso di categorie particolari di dati o di dati personali relativi a condanne penali e reati. Nella maggior parte delle aziende, il trattamento di dati particolari riguarda solo le note di malattia, i certificati di incapacità lavorativa, la gravidanza (protezione della maternità) e (nel caso di Germania e Austria) l'appartenenza religiosa. Tuttavia, non si tratta di attività principali e questi trattamenti possono essere considerati minori, per cui l'art. 37 par. 1 lett. c GDPR può essere interpretato come non applicabile.

La maggior parte delle aziende può beneficiare di un responsabile della protezione dei dati

Riassumendo le normative citate, si potrebbe concludere che le aziende che operano in Germania non hanno bisogno di un responsabile della protezione dei dati solo in casi eccezionali e che le aziende di altri Paesi dell'UE hanno bisogno di un responsabile della protezione dei dati solo in casi minori.

Sarebbe un errore, poiché gli obblighi del GDPR devono essere rispettati anche senza un obbligo di designazione. Pertanto, almeno un dipendente dovrebbe dedicarsi a questo argomento e verificare che tutti i trattamenti dei dati personali siano conformi al quadro normativo.

Alla fine di una pura analisi costi-benefici, le aziende spesso si rendono conto che è più conveniente nominare un responsabile della protezione dei dati piuttosto che correre il rischio di non rispettare le norme sulla protezione dei dati. Oltre alla multa che può essere comminata e ai costi del procedimento (davanti all'autorità di controllo e, se necessario, in tribunale), l'azienda può subire una perdita di fiducia da parte dei suoi clienti.

Tuttavia, poiché soprattutto le aziende più piccole sono spesso sommerse dagli obblighi in materia di protezione dei dati (risposta alle richieste degli interessati, documentazione, ecc.), vale la pena di farsi aiutare da un responsabile esterno della protezione dei dati.
Qual è il vantaggio generale di nominare un responsabile esterno della protezione dei dati? A differenza di un dipendente dell'azienda, che ha bisogno di tempo per familiarizzare con il lavoro, può commettere errori perché giudica male un caso a causa della sua mancanza di esperienza e può dover chiedere aiuto alla fine, il responsabile esterno della protezione dei dati ha l'esperienza necessaria per agire rapidamente e in modo mirato. Può scambiare informazioni con colleghi che hanno esperienza anche in altri settori. A seconda del numero di ore del dipendente che funge da responsabile interno della protezione dei dati, delle dimensioni dell'azienda e dei compiti da svolgere, esistono diversi quadri per un mandato di DPO esterno.

In 2B Advice GmbH, il numero di ore dei pacchetti di lavoro offerti viene adattato alle dimensioni dell'azienda. Per questo motivo tra i nostri clienti ci sono sia piccole aziende che grandi e medie imprese.

Siete invitati a contattare il nostro ufficio vendite per ricevere un'offerta su misura per le vostre esigenze.

Articoli correlati dal nostro blog: Valutazione d'impatto sulla protezione dei dati (DPIA): Cosa bisogna fare? Leggi qui

Tag:
Condividi questo post :
it_ITItalian