Quando la nomina è obbligatoria
Il GDPR (art. 37) impone la nomina del DPO in tre casi: quando il trattamento è svolto da un'autorità o un organismo pubblico, quando le attività principali consistono in un monitoraggio regolare e sistematico degli interessati su larga scala, e quando riguardano su larga scala categorie particolari di dati, come quelli sanitari, o dati relativi a condanne penali.
Nella pratica ci rientrano molte più realtà di quanto si pensi: strutture sanitarie e studi medici, fondazioni di ricerca, piattaforme che profilano gli utenti, realtà che trattano dati biometrici o applicazioni di AI su dati personali. E anche dove l'obbligo non scatta, una nomina volontaria ben strutturata è spesso la scelta più efficiente.
Come strutturiamo il mandato
Ogni incarico parte da un piano annuale condiviso con la direzione, così sai in anticipo cosa verrà fatto e quando. Limitiamo il numero di mandati attivi proprio per garantire presenza reale.
- Piano annuale di attività condiviso con la direzione
- Audit periodici e formazione del personale
- Monitoraggio continuativo e gestione dei data breach
- Interfaccia con il Garante e con gli interessati
I settori che presidiamo
Lavoriamo come DPO soprattutto dove i dati sono il cuore dell'attività e dei rischi: sanità e poliambulatori, fondazioni e ricerca scientifica, gruppi industriali e tecnologici, servizi alla persona e realtà pubbliche, startup e piattaforme digitali. L'incarico è svolto da un avvocato certificato CIPP/E (IAPP) e DPO certificato CEPAS.
Per chi usa l'AI in modo strutturato, il mandato può integrare anche il ruolo di AI Officer esterno: un unico presidio su dati e intelligenza artificiale, con un solo interlocutore.
Domande frequenti
Meglio un DPO interno o esterno?
Cosa succede in caso di data breach?
Il costo di un DPO esterno come si determina?
Parliamone
Trenta minuti per capire la tua situazione e da dove partire. Scrivi a sa@studiolap.it, usa il form di contatto o prenota direttamente una call.
Prenota una call