Per chi non nomina il DPO, ovvero il responsabile della protezione dei dati, ci saranno multe fino a 10 milioni di euro.
Cosa si rischia per la mancata nomina del DPO, ovvero del responsabile della protezione dei dati? Ebbene, con l’entrata in vigore del GDPR, ovvero sia il nuovo Regolamento europeo sulla privacy, dal 25 maggio 2018 è scattato l’obbligo per alcuni specifici soggetti di designare il DPO.
Per la mancata nomina del DPO però, si rischiano multe salatissime, fino a 10 milioni di euro.
Ma in quali casi va designato il DPO?
La nuova figura va nominata dal titolare o dal responsabile del trattamento in casi precisi.
In primis, quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico.
Questo però ad eccezione delle autorità giurisdizionali quando esercitano le loro funzioni.
In secondo luogo, quando il titolare o il responsabile del trattamento svolgono come attività principali trattamenti che, per loro ambito di applicazione e/o finalità, richiedono il monitoraggio regolare degli interessati su larga scala.
Infine, il DPO va nominato quando il titolare o il responsabile del trattamento svolgono come attività principali il trattamento, su larga scala, di categorie particolari di dati personali. Nello specifico, quelli di cui all’articolo 9 del Regolamento o di dati relativi a condanne penali e a reati di cui all’articolo 10 del Regolamento.
Come anticipato, in caso di mancata nomina del DPO le sanzioni saranno importanti.
A titolo esemplificativo e non esaustivo sono obbligati alla nomina del DPO:
- istituti di credito;
- imprese assicurative;
- sistemi di informazione creditizia;
- società finanziarie;
- società di informazioni commerciali;
- società di revisione contabile;
- società di recupero crediti;
- istituti di vigilanza;
- partiti e movimenti politici;
- sindacati;
- caf e patronati;
- società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas);
- imprese di somministrazione di lavoro e ricerca del personale;
- società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione;
- società di call center;
- società che forniscono servizi informatici;
- società che erogano servizi televisivi a pagamento.
Ciò proprio in virtù del ruolo centrale che il nuovo sistema privacy assegna al responsabile della protezione dei dati.
Egli è infatti chiamato a garantire il rispetto della normativa sulla protezione dei dati personali con funzioni di supporto e controllo, consultive, formative e informative. Per tali ragioni, il GDPR ha previsto delle pesanti conseguenze sanzionatorie per coloro che, pur essendo tenuti a designare tale figura, non ottemperano a tale obbligo.
Pertanto, ai sensi dell’articolo 83, comma 4 del Regolamento, l’omessa nomina del responsabile della protezione dati è punita severamente. Nello specifico, con sanzioni amministrative pecuniarie fino a euro 10.000.000.
Nel caso delle imprese, la sanzione arriverà fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
