Come stabilito dall’art. 37 del GDPR, il DPO deve essere nominato obbligatoriamente dal titolare del trattamento o dal responsabile del trattamento in una serie definita di ipotesi.
In primo luogo, nel caso in cui il trattamento dei dati sia effettuato da un’autorità pubblica o da un organismo pubblico, fatta eccezione per le autorità giurisdizionali quando esercitano le loro funzioni. Poiché nel Regolamento non viene data alcuna definizione specifica di “autorità pubblica” o di “organismo pubblico”, il Gruppo di lavoro ex art. 29 ha ritenuto che questa definizione dovrà essere interpretata in conformità al diritto di ciascuno Stato membro. Si raccomanda, inoltre, la nomina di un DPO anche all’interno di quegli organismi privati incaricati dello svolgimento di funzioni pubbliche, o che comunque esercitano pubblici poteri (ad esempio, nel settore dei trasporti pubblici, delle forniture elettriche, delle infrastrutture stradali e così via). Infine, è opportuno che il DPO, una volta nominato, svolga la propria attività non solo con riferimento ai trattamenti strettamente connessi alle funzioni pubbliche dell’organismo, ma anche con riguardo ad altre attività, come la gestione di un database del personale.
In secondo luogo, la nomina del DPO è obbligatoria quando le attività principali svolte del titolare o del responsabile del trattamento consistono in operazioni che, per la loro natura, l’ambito di applicazione o le finalità, richiedono un monitoraggio regolare e sistematico degli interessati su larga scala. Il Gruppo di lavoro ex art. 29 raccomanda, per valutare il ricorrere o meno di questa circostanza nella situazione concreta, di tenere conto di una serie di fattori, fra i quali, a titolo esemplificativo, rilevano il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento, il volume dei dati e le diverse tipologie di dati che sono oggetto di trattamento, la durata o la persistenza dell’attività di trattamento e, infine, la portata geografica dell’attività di trattamento.
Anche il concetto di monitoraggio regolare e sistematico degli interessati non trova una precisa definizione all’interno del GDPR, tuttavia si ritiene che debbano esservi ricomprese tutte le forme di tracciamento e profilazione su Internet, anche per finalità di pubblicità comportamentale. Il monitoraggio sarà poi da considerare “regolare e sistematico” quando, in linea di massima, avviene in modo continuo o in un arco temporale ben definito, quando sia ripetuto a intervalli costanti oppure in modo predeterminato, organizzato e metodico o, ancora, quando sia realizzato in forza di una pianificazione strategica.
Esempi di attività che possono integrare tutti questi estremi sono: la prestazione di servizi di telecomunicazioni, il reindirizzamento di messaggi di posta elettronica e le attività di marketing basate sull’analisi dei dati raccolti, il tracciamento della posizione, per esempio da parte di app su dispositivi mobili, i programmi di fidelizzazione e di monitoraggio di dati sullo stato di salute e sulla forma fisica attraverso dispositivi indossabili.
Infine, il titolare dovrà necessariamente nominare un Responsabile per la protezione dei dati personali, nel caso in cui le attività principali effettuate consistano nel trattamento, su larga scala, di dati sensibili o di dati relativi a condanne penali e a reati consistenti nell’illecito trattamento dei dati personali.
In tutti i restanti casi, quando il regolamento non impone specificamente la nomina di un DPO, questa figura potrà comunque essere designata dal titolare o dal responsabile del trattamento su base volontaria. L’art. 37, comma 4 del GDPR stabilisce infatti a questo proposito che: “Nei casi diversi da quelli di cui al paragrafo 1, il titolare e del trattamento, il responsabile del trattamento o le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o di responsabili del trattamento possono o, se previsto dal diritto dell’Unione o degli Stati membri, devono designare un responsabile della protezione dei dati. Il responsabile della protezione dei dati può agire per dette associazioni e altri organismi rappresentanti i titolari del trattamento o i responsabili del trattamento”.
La struttura del GDPR e le prime indicazioni applicative emerse, ad ogni modo, hanno enfatizzato l’importanza che per qualsiasi azienda può rivestire questa figura. Come risulta anche dalle indicazioni del Gruppo di Lavoro ex art. 29, infatti, viene suggerito quale misura generale a tutte le imprese, per garantire standard di sicurezza adeguati, di procedere alla nomina del DPO, anche se non sia obbligatoria per legge, affidando possibilmente tale incarico a soggetti terzi ed esterni all’organizzazione, che permettano di assicurare delle valutazioni oggettive per garantire livelli di tutela più elevati possibili per gli interessati.
Infine, emerge dall’art. 37, comma 2 (secondo cui “Un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati, a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento”) che viene ammessa dal GDPR anche la possibilità per un gruppo di imprese o di soggetti pubblici di nominare un unico DPO (sia per avere una visione e una gestione globale del “sistema privacy” sia per evitare costi economici eccessivi).