ARGOMENTO:

A mio avviso non è opportuno dare una risposta generalizzata, ma occorre valutare di caso in caso se ciascuna associazione ricade nelle previsioni dell'obbligo del Data Protection Officer. E' infatti bene ricordare che, oltre alle pubbliche amministrazioni (eccetto le autorità giudiziarie) che sono tenute a prescindere a nominare un Dpo, l'obbligo ricade anche in tutti quei titolari del trattamento che nelle loro attività principali trattano su larga scala dati sensibili (ex art.9 del Gdpr), relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici, oppure che svolgono attività in cui i trattamenti richiedono il controllo regolare e sistematico degli interessati. In particolar modo, talvolta gli iscritti ad una determinata associazione potrebbero rivelare informazioni sensibili. In altri casi invece, le caratteristiche delle attività dell'associazione potrebbero non evidenziare subito l'esistenza di trattamenti che richiedono un controllo regolare e sistematico degli interessati, elemento che può emergere solo dopo un accurato assessment. Peraltro, ricordo che a norma del Gdpr, anche se la decisione finale è quella di non nominare un Dpo, se ne devono comunque rendicontare per iscritto le motivazioni.

Cordiali saluti
NIcola Bernardi

buongiorno a tutti richiamando l'art. 37 e le linee guida WP 29 mi chiedevo se ne caso di associazioni di categoria aderenti alle federazioni indutrali (ex associazioni federmacchine, federlegno, federchimica.) che sono correlate a società di servizi che generalmente organizzano le ferie di settore vi fosse l'obbligo di nomina del DPO stante che nell'organizzazioni degli eventi fieristici per il tramite delle società di servizi si trovano a trattare un numero ingente di contatti di visitatori.

Qualcuno ha per caso approfondito il tema?
grazie mille