E’ obbligatorio avere un DPO in un centro sportivo di circa 2000 iscritti dove i dati sensibili che vengono trattati sono il certificato medico che consegnano, iscrizione al centro, e email dove mandiamo solo le nostre promozioni?
Esaminando l’art. 37 GDPR, esso prevede la nomina obbligatoria dei DPO in casi ben precisi e qualora il trattamento dei dati riguardi dati sensibili su larga scala. Dal momento che un centro sportivo (se isolato e senza sedi sparse sul territorio) non dovrebbe trattare dati sensibili su larga scala ritengo non dovuto il DPO (ma va valutato caso per caso). Inoltre il certificato medico di idoneità alla pratica sportiva potrebbe non rappresentare un dato sensibile trattato in via principale.
Infatti il certificato medico di idoneità, per le informazioni che riporta (“idoneità alla pratica sportiva” o “il soggetto non riporta controindicazioni in atto alla pratica sportiva”) direi che potrebbe anche esser definito come dato non sensibile.