Meglio un DPO omeopatico o nessun DPO per le piccole e micro imprese?

 Nelle recenti Faq fornite per meglio comprendere la figura del Responsabile della protezione dei dati nel settore privato c'è un punto che mi desta non pochi dubbi, soprattutto se riferito al mercato della micro e piccola impresa non data-driven, titolato Chi sono i soggetti per i quali non è obbligatoria la designazione del responsabile della protezione dei dati personali?
Nei casi diversi da quelli previsti dall'art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679, la designazione del responsabile del trattamento non è obbligatoria (ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti: v. anche considerando 97 del Regolamento, in relazione alla definizione di attività "accessoria").
In ogni caso, resta comunque  raccomandata, anche alla luce del principio di "accountability" che permea il Regolamento, la designazione di tale figura (v., in proposito, le menzionate linee guida), i cui criteri di nomina, in tale evenienza, rimangono gli stessi sopra indicati.

Orbene, non sarebbe meglio per una piccola realtà valutare, proprio in ossequio al principio di accountability, in luogo della designazione di un DPO "omeopatico" (ovverosia: estremamente diluito per il rapporto costi-benefici, dal momento che una figura professionale così complessa ha un costo non indifferente) una diversa ipotesi che dia atto dell'insussistenza dell'obbligo di designazione di una figura sovradimensionata per piccole (o micro) realtà?

Ad esempio: perchè non valutare quali dei compiti di cui all'art. 39 GDPR sarebbe utile assegnare o ad un proprio dipendente o altrimenti affidati in outsourcing, disegnando così un soggetto adeguato alle proprie esigenze di data protection e compliance?

Certamente, tale soggetto non potrà essere indicato con la denominazione di DPO/RPD, ma ciò non significa che l'azienda che adotta tale figura non possa essere comunque compliant e accountable.

Commenti