Dati Azienda Nome e Cognome del compilatore Documento per la verifica dell’obbligatorietà per la designazione del DPO Articolo 37 Regolamento UE 679/2016 per soggetti privati Quando il titolare del trattamento è un soggetto privato, al fine di verificare l’obbligatorietà della designazione del DPO occorre porsi alcuni quesiti, e rendere conto delle relative risposte: (1) Le attività principali del titolare del trattamento consistono in trattamenti che richiedono il: (1a) monitoraggio regolare e sistematico di interessati su (1b) larga scala; (con esclusione dei dati dei dipendenti) Al fine di verificare l’obbligo di designazione del DPO occorre verificare se alcuni dei trattamenti dati posti in essere rientrano entrambi nelle definizioni dei punti (1a) e (1b) descritte successivamente se (1a) e (1b) sono entrambe applicabili allora vige l'obbligo di designazione del DPO Rispondiamo alle seguenti domande: (1a) Monitoraggio regolare e sistematico: per regolare e sistematico si intende: Il trattamento dati avviene in modo continuo o ad intervalli definiti, o per un arco di tempo definito, o ricorrente o ripetuto a intervalli costanti; cha avviene in modo costante o a intervalli periodici; Se avviene per sistema, in modo predeterminato o organizzato, metodico, che ha luogo nell’ambito di un progetto di raccolta dati, nell’ambito di una strategia, es. comunicazioni periodiche ai clienti quali newsletter, cambio listini, promozioni in corso; oppure invio delle fatture mensilmente per tutto il periodo di durata di un rapporto in essere con il cliente, etc. Note punto (1a): Indicare quali sono i trattamenti dati che rientrano nel Monitoraggio regolare e sistematico: Si effettua monitoraggio Regolare e Sistematico: rispondere qui: SINO (1b) Larga Scala: per larga si considera se almeno una delle tre successive tre condizioni è applicabile: a) numero di soggetti interessati in termini assoluti o in percentuale rispetto al comparto di attività (es. per la videosorveglianza può essere considerata larga scala quando un supermercato ha un sistema di videosorveglianza su più sedi in diverse provincie o regioni) Rispondere qui: SINO b) il volume dei dati e/o diverse tipologie oggetto di trattamento (es. quando il trattamento è riferito una quantità considerevole di dati e/o comprende contemporaneamente informazioni su diverse tipologie di dati personali come le assicurazioni.) Rispondere qui: SINO c) la durata, la persistenza dell’attività di trattamento, la portata geografica dell’attività di trattamento; con esclusione di dati particolari trattati da un solo libero professionista es. quando un azienda con diverse filiali che raccolgono dati di potenziali utenti / clienti. Rispondere qui: SINO Note punto (2a): Indicare quali sono i trattamenti dati che rientrano nella “larga scala”: Si effettuano trattamenti dati su Larga Scala: [checkbox* checkbox-341 exclusive "SI" "NO"] (2) Quando le attività principali del titolare del trattamento consistono nel trattamento su larga scala (1b) di categorie particolari di dati (2a) o di dati personali relativi a condanne penali e reati. (2a) Al fine di verificare l’obbligo di designazione del DPO occorre verificare se nello svolgimento delle attività principali dell’azienda rientrano trattamenti dati delle categorie di seguito definite: Categorie particolari di dati (ex dati sensibili) art. 9 Reg. UE 679/2016: SINO origine razziale o etnica, SINO le opinioni politiche, SINO le convinzioni religiose o SINO filosofiche, o SINO l'appartenenza sindacale, SINO nonché trattare dati genetici, SINO dati biometrici intesi a identificare in modo univoco una persona fisica, SINO dati relativi alla salute, SINO prestazione di servizi di assistenza sanitaria, SINO vita sessuale o all'orientamento sessuale della persona, SINO dati personali relativi a condanne penali e reati Note punto 2: Quali sono le attività principali di attività: (con esclusione dei dati dei dipendenti) Quali trattamenti dati rientrano nei dati particolari Rispondere qui: SINO Sulla base delle considerazioni sopra riportate si stabilisce che la designazione del Data Protection Officer per la nostra azienda è: OBBLIGATORIANON OBBLIGATORIANON IN GRADO DI STABILIRLO Motivazioni qualora il titolare non sia in grado di stabilire l’obbligatorietà o meno della designazione del DPO: Legale Rappresentante / Delegato (nome e cognome): Data: