Il responsabile della protezione dei dati personali
RDP E DPO (dall'inglese data protection officer) è una figura prevista dall'art. 37 del Regolamento (UE) 2016/679.
Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all'applicazione del Regolamento che coopera con l'Autorità alla quale devono essere
comunicati le sue generalità.
Sono obbligati alla nomina i soggetti le cui principali attività consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati . Il diritto dell'Unione o degli Stati membri può prevedere ulteriori casi di designazione obbligatoria del responsabile della protezione dei dati.
A titolo esemplificativo e non esaustivo sono obbligati alla nomina del DPO:
- istituti di credito;
- imprese assicurative;
- sistemi di informazione creditizia;
- società finanziarie;
- società di informazioni commerciali;
- società di revisione contabile;
- società di recupero crediti;
- istituti di vigilanza;
- partiti e movimenti politici;
- sindacati;
- caf e patronati;
- società operanti nel settore delle "utilities" (telecomunicazioni, distribuzione di energia elettrica o gas);
- imprese di somministrazione di lavoro e ricerca del personale;
- società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centridi riabilitazione;
- società di call center;
- società che forniscono servizi informatici;
- società che erogano servizi televisivi a pagamento.
Non sono obbligati alla nomina del DPO in relazione a trattamenti effettuati da:
- liberi professionisti operanti in forma individuale;
- agenti, rappresentanti e mediatori operanti non su larga scala;
- imprese individuali o familiari;
- piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti;