Il D.P.O. (Data Protection Officer) è il Reponsabile per la protezione dei dati la cui
nomina è obbligatoria nei casi indicati dall’art. 37 G.D.P.R. (Reg. 679/2016).
Nella fattispecie, la società spagnola, poiché riceveva migliaia di prenotazioni su di
una piattaforma on line, era tenuta a designare il D.P.O. ex art. 37 G.D.P.R. (Reg.
679/2016): la pronuncia in esame conferma che la dimensione numerica degli interessati è uno dei criteri impiegati per la definizione di trattamento su “larga scala”, concetto del quale il G.D.P.R. non fornisce una precisa definizione.
Le uniche indicazioni al riguardo sono contenute nel Considerando 91 che definisce tali quei ” trattamenti che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale”, e nelle linee guida del WP29, secondo cui occorre tener conto dei seguenti elementi:
numero dei soggetti interessati al trattamento, in termini assoluti o espressi in % della popolazione di riferimento;
volume dei dati e/o loro tipologia;
durata e portata geografica dell’attività di trattamento.
N.B. al di là dei pochi casi in cui il G.D.P.R. indica espressamente l’obbligatorietà della nomina del D.P.O. , il principio di “accountability” che informa l’intero regolamento, conduce a ritenere che la volontaria designazione del responsabile per la protezione dei dati costituisca una best practice e, qualora si scelga di non nominarlo, è opportuno motivare tale decisione conservandone traccia documentale.