Premesso che quella di determinare se la propria azienda rientra o meno nell'obbligo di designare il DPO, o se sia comunque opportuno doverlo nominare facoltativamente, è una decisione che deve essere ponderata accuratamente e poi documentata per iscritto, la risposta non è quindi esauribile in un secco sì/no. Le ricordo che l'obbligo del Responsabile della Protezione dei Dati (Data Protection Officer), come spiegano le Linee Guida del WP29, sussiste se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico, se le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala, oppure se le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento su larga scala di categorie particolari di dati o di dati, o di dati personali relativi a condanne penali e reati. Dalla succinta descrizione da lei fatta, pare che ci possano essere le condizioni per cui si applichi l'obbligo del DPO, ma prima di assumersi la responsabilità di caricare l'azienda di un costo significativo, o viceversa di concludere che il DPO non sia obbligatorio con il rischio di essere soggetti poi a pesanti sanzioni da parte dell'Autorità, le raccomando di richiedere un parere legale ad un professionista qualificato.
Cordiali saluti
Nicola Bernardi
