C'è una grande novità nel regolamento generale sulla protezione dei dati (GDPR): poche settimane fa, il Bundestag ha raddoppiato la soglia per la nomina di un responsabile della protezione dei dati aziendale. Il GDPR è ormai in vigore da più di un anno e ora c'è un interessante cambiamento per quanto riguarda il responsabile della protezione dei dati (DPO). L'obbligo di nominare un DPO dipende ancora dal numero di dipendenti che si occupano costantemente del trattamento automatizzato dei dati personali.
Originariamente, si diceva che se 10 dipendenti si occupano costantemente del trattamento automatizzato dei dati personali, un DPO è necessario. Con il nuovo progetto di legge, questa soglia è stata portata a 20 dipendenti. Questo è destinato ad alleggerire il peso delle piccole imprese e delle associazioni in particolare. I sostenitori della nuova soglia sostengono che il 90% delle imprese artigianali ne beneficerebbe e che è possibile una massiccia riduzione della burocrazia. D'altra parte, i critici come il commissario federale per la protezione dei dati Ulrich Kelber la vedono come una "misura sbagliata che potrebbe seriamente compromettere il mantenimento dell'alto livello di protezione dei dati in Germania". "Sarebbe auspicabile che il governo usasse l'attuale valutazione del regolamento generale sulla protezione dei dati per rendere la protezione dei dati più pratica e orientata al rischio possibile", dice Patrycja Tulinska, esperto di sicurezza informatica e direttore generale di PSW Group Consulting. Tulinska spiega quali effetti avrebbe il cambiamento della legge sulle aziende nella pratica: "Per il legislatore, una persona è considerata stabilmente impiegata se è permanentemente responsabile della gestione dei clienti o del personale. Le persone che, per esempio, come artigiani o impiegati nella produzione, trattano solo i nomi e gli indirizzi dei clienti, non sono permanentemente impegnati in essa.
L'elaborazione automatizzata dei dati significa la raccolta, l'elaborazione e l'utilizzo dei dati personali con l'aiuto di apparecchiature di elaborazione dei dati. Questo può quindi essere computer, smartphone o server, ma anche una fotocopiatrice se funziona con un supporto di memorizzazione". Tuttavia, la nuova soglia non si applica alle aziende che trattano dati personali che contribuiscono alla valutazione della personalità dell'interessato, delle sue prestazioni o del suo comportamento.
"Questo riguarderebbe, per esempio, un tecnico acustico o un meccanico ortopedico. I dati personali sono trattati da loro e utilizzati per valutare l'interessato. Di conseguenza, devono nominare un responsabile della protezione dei dati anche se sono sotto la soglia", aggiunge Tulinska. Lo stesso vale per le aziende che svolgono compiti sovrani, come lo spazzacamino.