Risposta
Sì, l’applicazione del regolamento sulla protezione dei dati non dipende dalle dimensioni dell’azienda/organizzazione, ma dalla natura delle sue attività. Le attività che presentano rischi elevati per i diritti e le libertà delle persone, indipendentemente dal fatto che siano svolte da una PMI o da una società di capitali, determinano l’applicazione di norme più severe. Tuttavia, alcuni degli obblighi del GDPR potrebbero non applicarsi a tutte le PMI.
Ad esempio, le aziende con meno di 250 dipendenti non devono tenere un registro delle loro attività di trattamento, a meno che il trattamento dei dati personali non sia un’attività regolare, costituisca una minaccia per i diritti e le libertà individuali o riguardi dati sensibili o casellari giudiziari.
Analogamente, le PMI dovranno nominare un responsabile della protezione dei dati soltanto se il trattamento dei dati costituisce la loro attività principale e rappresenta una minaccia specifica per i diritti e le libertà individuali (come il controllo delle persone o il trattamento di dati sensibili o di casellari giudiziari), in particolare perché avviene su vasta scala.