DATA PROTECTION: 
IL GARANTE SPAGNOLO HA IRROGATO LA SANZIONE DI 25 MILA EURO AD UNA SOCIETÀ DI CONSEGNA A DOMICILIO MEDIANTE PRENOTAZIONE ON LINE PERCHÉ NON AVEVA NOMINATO IL D.P.O.




Il D.P.O. (Data Protection Officer) è il Reponsabile per la protezione dei dati la cui

nomina è obbligatoria nei casi indicati dall’art. 37 G.D.P.R. (Reg. 679/2016).

Nella fattispecie, la società spagnola, poiché riceveva migliaia di prenotazioni su di

una piattaforma on line,  era tenuta a designare il D.P.O.  ex art. 37 G.D.P.R. (Reg.

 679/2016): la pronuncia in esame conferma che la dimensione numerica degli interessati è uno dei  criteri impiegati per la definizione di trattamento su “larga scala”, concetto del quale il G.D.P.R. non fornisce una precisa definizione.

Le uniche indicazioni al riguardo sono contenute nel Considerando 91 che definisce tali quei ” trattamenti che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale”, e nelle linee guida del WP29, secondo cui occorre tener conto dei seguenti elementi:

numero dei soggetti interessati al trattamento, in termini assoluti o espressi in % della popolazione di riferimento;

 volume dei dati e/o loro tipologia;

durata e portata geografica dell’attività di trattamento.

N.B. al di là dei pochi casi in cui il G.D.P.R. indica espressamente l’obbligatorietà della nomina del D.P.O. , il principio di “accountability”  che informa l’intero regolamento, conduce a ritenere che la volontaria  designazione del responsabile per la protezione dei dati costituisca una best practice e, qualora si scelga di non nominarlo, è opportuno motivare tale decisione conservandone traccia documentale.