Un gruppo societario formato da 15 aziende (ognuna con non più di 10 dipendenti) utilizza una medesima piattaforma software e condivide i dati dei clienti. Le varie aziende possono offrire al medesimo cliente i propri servizi e prestazioni, che in alcuni casi sono gli stessi ma erogati in zone geografiche diverse, in altri casi si tratta di servizi o prestazioni diverse da quella inizialmente richiesta dal cliente.
In particolare un'azienda del gruppo si occupa in alcuni casi di effettuare dei trattamenti dati anche per conto delle altre aziende del gruppo ed ha in carico il software usato anche dalle altre aziende del gruppo.
Le aziende hanno anche esternalizzato l'elaborazione paghe dei dipendenti verso un'unica azienda che non fa parte del gruppo. Tutte le aziende hanno anche esternalizzato la redazione del bilancio e adempimenti annessi verso un'altra azienda che non fa parte del gruppo.
Le aziende operano e trattano i dati esclusivamente in italia.
E' corretto prevedere che:
1) tutte le aziende sono contitolari
2) l'azienda del gruppo che tratta i dati anche in nome e per conto delle altre sia indicata come responsabile del trattamento insieme alle due aziende esterne che elaborano le paghe dei dipendenti e il bilancio delle società
3) ogni azienda deve redigere il proprio registro di trattamenti?
4) vi sia un DPO (considerando il gruppo di aziende) seppur non ricorrano gli elementi che lo obbligano come previsti dal GDPR?
1) tutte le aziende sono contitolari
[color=red]Da quanto descritto appare corretto[/color]
2) l'azienda del gruppo che tratta i dati anche in nome e per conto delle altre sia indicata come responsabile del trattamento insieme alle due aziende esterne che elaborano le paghe dei dipendenti e il bilancio delle società
[color=red]Certo[/color]
3) ogni azienda deve redigere il proprio registro di trattamenti?
[color=red]Certo[/color]
4) vi sia un DPO (considerando il gruppo di aziende) seppur non ricorrano gli elementi che lo obbligano come previsti dal GDPR?
[color=red]NO ... se non si rientra nelle tipologie per cui è obbligatorio non servirebbe ... anche se lo consigliere vivamente[/color]