loader

Una delle maggiori novità del Regolamento Europeo del 25 maggio 2016 in materia di privacy è rappresentata dall’introduzione della figura del data protection officer o responsabile della protezione dei dati o DPO.

In questi ultimi giorni si è intensificato il dibattito sui casi nei quali sia obbligatorio per un ente o una azienda nominare un Data Protection Officer.

Cerchiamo di fare chiarezza utilizzando le Linee-guida del 13 dicembre 2016 sui responsabili della protezione dei dati redatte da Article 29 Working Party, organismo consultivo e indipendente, composto da un rappresentante delle autorità di protezione dei dati personali designate da ciascuno Stato membro, dal GEPD (Garante europeo della protezione dei dati), nonché da un rappresentante della Commissione.

QUANDO LA NOMINA E’ OBBLIGATORIA

art. 37 del Regolamento UE 2016/679, la nomina del DPO è obbligatoria:
a) se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico, con l’eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali; oppure
b) se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; oppure
c) se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.
Si tenga presente che la designazione obbligatoria di un DPO può essere prevista anche in casi ulteriori in base alla legge nazionale o al diritto comunitario. Inoltre, anche ove il regolamento non imponga in modo specifico la designazione di un DPO, può risultare utile procedere a tale designazione su base volontaria. 

AUTORITA’ PUBBLICHE E ORGANISMI PUBBLICI

Partendo dall’ipotesi sub a), nel regolamento non si rinviene alcuna definizione di “autorità pubblica” o “organismo pubblico”. Il Working Party ritiene che tale definizione debba essere interpretata conformemente a (ciascun) diritto nazionale.
E tuttavia, è bene evidenziare che nelle Linee guida del 13 dicembre 2016 viene “raccomandata” la nomina del DPO anche per quegli “organismi privati incaricati di funzioni pubbliche o che esercitano pubblici poteri”.


TRATTAMENTI SU LARGA SCALA

Nelle ipotesi sub lettere b) e c) dell’art. 37, paragrafo 1 del Regolamento risulta dirimente, al fine di valutare se sussista o meno l’obbligo di nomina di un DPO, è che il trattamento avvenga su “larga scala”.
Il Regolamento non fornisce una definizione di “trattamento su larga scala”, anche se il considerando 91 fornisce indicazioni in proposito, ricomprendendovi, in particolare, “trattamenti… che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato”. D’altro canto, lo stesso considerando prevede in modo specifico che “Il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato”.
Le linee guida evidenziano come fra tali estremi si colloca un’ampia zona grigia e che in realtà risulta impossibile precisare la quantità di dati oggetto di trattamento o il numero di interessati in modo da coprire tutte le eventualità.
Ad ogni modo, il Working Party raccomanda di tenere conto, in particolare, dei seguenti fattori:
– il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
– il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
– la durata, ovvero la persistenza, dell’attività di trattamento;
– la portata geografica dell’attività di trattamento.

MONITORAGGIO REGOLARE E SISTEMATICO

Anche il concetto di “monitoraggio regolare e sistematico degli interessati” non trova definizione nel Regolamento; a mente del considerando 24, vi rientra certamente ogni forma di tracciamento e profilazione su Internet anche per finalità di pubblicità comportamentale.
Le linee guida evidenziano tuttavia che la nozione di monitoraggio non trova applicazione solo con riguardo all’ambiente online.
L’aggettivo “regolare” ha almeno uno dei seguenti significati a giudizio del Working Party:
– che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito;
– ricorrente o ripetuto a intervalli costanti;
– che avviene in modo costante o a intervalli periodici.
L’aggettivo “sistematico” ha almeno uno dei seguenti significati a giudizio del Working Party:
– che avviene per sistema;
– predeterminato, organizzato o metodico;
– che ha luogo nell’ambito di un progetto complessivo di raccolta di dati;
– svolto nell’ambito di una strategia.

Le linee guida forniscono anche alcune utili esemplificazioni di attività di monitoraggio sistematico e regolare, tra le quali: il curare il funzionamento di una rete di telecomunicazioni; la prestazione di servizi di telecomunicazioni; il tracciamento dell’ubicazione, per esempio da parte di app su dispositivi mobili; i programmi di fidelizzazione; l’utilizzo di telecamere a circuito chiuso; i dispositivi connessi quali contatori intelligenti, automobili intelligenti, dispositivi per la domotica.

Per maggiori informazioni è possibile consultare il sito web Article 29 Working Party

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Parla con noi
Salve 👋
Come possiamo aiutarti?