DPO, averlo è un obbligo anche per te?

Email this to someoneShare on FacebookTweet about this on TwitterShare on LinkedInShare on Google+Share on Reddit

Partiamo da alcune definizioni:

1.      Il DPO è il responsabile della privacy: il suo compito è consigliare, monitorare e vigilare sull’applicazione delle norme incluse del GDPR. È la figura di riferimento del Garante ed anche il punto di snodo delle richieste da parte del cittadino.

2.      Il GDPR consiglia di averlo più o meno a tutti, ma obbliga solo tre categorie ad averne uno: la PA, i privati che eseguono monitoraggi su larga scala e i privati la cui attività principale riguardi i diritti particolari (ex art 9) di soggetti su larga scala.

Questo ci porta ad avere alcuni problemi interpretativi, che le linee guida non ci aiutano ad affrontare seriamente. 

Il primo, più importante e forse irresolubile senza l’intervento interpretativo della magistratura è quello della larga scala.

Cosa vuol dire?

Facciamo alcuni esempi: secondo il gruppo di lavoro WP 29 il singolo medico di base (o il singolo avvocato) non esegue trattamenti su larga scala. Sempre secondo lo stesso gruppo di lavoro, il piccolo ospedale invece li svolge. Questo perché, dobbiamo essere chiari sul punto, quando si scrive una norma per un intero continente che influenza tutto il mondo non si considerano i dati pratici e le realtà industriali dei territori presi singolarmente.

Un medico di base ha un tetto di mille pazienti. Nelle grandi città questo vuol dire che nel corso della carriera trentennale potrebbe incontrarne qualche decina di migliaia, di cui conserverà un archivio pressoché a tempo indeterminato. Essendo fortemente territoriale, potrebbe scrivere la storia epidemiologica di interi paesi. È razionale dire che questo non sia un trattamento su larga scala? D’altronde, se vogliamo essere onesti, alcuni tengono magari solo un centinaio di pazienti. Così come esistono struttura sanitarie, sopratutto specialistiche, che hanno assai meno pazienti di uno studio con tre medici di base.

Questo ci porta alle imprese. Le imprese di una certa grandezza hanno sempre alcune operazioni di controllo sistematico. Se non altro sui dipendenti. Pensate alle abitudini, alle preferenze. Ma poi vi sono anche i dati sensibili riguardanti malattie ed assegni familiari. In sostanza, la domanda è: come fare a decidere. Sempre il WP 29 dice di vedere caso per caso. E se lo dicono loro forse andrebbero ascoltati.

Ecco perché bisogna chiedere una consulenza specializzata. E, magari, alla fine il DPO non costerà nemmeno così tanto come potreste pensare. Svolgendo anche una funzione molto importante in azienda: valorizzare i dati, rendendoli utilizzabili e sottolineandone le potenzialità economiche.


SISECO ha anche realizzato GDPR Navigator, una soluzione per gestire al meglio la tematiche GDPR.

Per informazioni

Privacy Preference Center

Close your account?

Your account will be closed and all data will be permanently deleted and cannot be recovered. Are you sure?

Are you sure?

By disagreeing you will no longer have access to our site and will be logged out.