Obbligo di nomina del responsabile della protezione dati da chiarire
Le Commissioni speciali della Camera e del Senato chiamate ad esaminare lo schema di D.Lgs. recante le disposizioni per l’adeguamento della normativa nazionale al nuovo GDPR (Regolamento UE 679/2016) hanno evidenziato alcuni profili di incertezza sulla figura del Responsabile della protezione dei dati (RDP o Data Protection Officer – DPO).
Poiché l’art. 37 del GDPR richiama per l’obbligo di nomina un trattamento di dati “su larga scala”, non è chiara l’applicazione di tale previsione anche per le piccole imprese.
Sarebbe pertanto opportuno un chiarimento in merito alla nozione di “dati su larga scala” o la previsione di una semplificazione dell’adempimento come, ad esempio, l’esclusione dall’obbligo di designazione per una serie di soggetti in base al tipo di attività svolta o al volume dell’attività realizzata.
