Elenco dei casi in cui è obbligatoria la nomina del Responsabile della protezione dei dati (DPO)
La designazione del DPO, sebbene consigliata a più riprese dall’Autorità Garante, non è sempre obbligatoria.
Il Regolamento UE 2016/679 (GDPR), all’art. 37, definisce alcune situazioni in cui tale designazione del Responsabile della Protezione dei dati sia da considerarsi obbligatoria e, nello specifico, sono esplicitati tre casi:
- quando il trattamento sia posto in essere da un’autorità o da un organismo pubblico;
- quando le attività principali svolte dal titolare o dal responsabile del trattamento consistano nel monitoraggio regolare e sistematico su larga scala degli interessati;
- le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di particolari categorie di dati o di dati relativi a condanne penali o reati degli interessati.
Analizziamo nel dettaglio i tre casi e cerchiamo di comprenderne gli aspetti principali.
1) Nomina del DPO quando il trattamento sia posto in essere da un’autorità o da un organismo pubblico (restano escluse dall’obbligo normativo le autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali)
Il GDPR non chiarisce chi siano tali soggetti, la cui individuazione è rimessa all’interprete.
Si ritiene, a tal proposito, che unitamente alle autorità nazionali, regionali e locali, tale previsione possa essere estesa anche una serie di altri organismi di diritto pubblico o ulteriori soggetti (anche persone fisiche o giuridiche sia di diritto pubblico che di diritto privato) che svolgono funzioni pubbliche o esercitano pubblici poteri (si pensi ad esempio all’ambito dei trasporti pubblici oppure ai soggetti incaricati della fornitura idrica o elettrica).
Sulla questione è intervenuto, con delle FAQ dedicate, anche il Garante per la Protezione dei Dati Personali, stabilendo che in ambito pubblico sono tenuti alla designazione del RPD alcuni soggetti tra cui le amministrazioni dello Stato, gli enti pubblici non economici nazionali, ma anche regionali e locali, le Regioni, gli enti locali, le università, le Camere di commercio, industria, artigianato e agricoltura, le aziende del Servizio sanitario nazionale, le autorità indipendenti.
Il Garante ha, altresì, raccomandato la designazione del DPO per i soggetti privati che esercitino funzioni pubbliche, anche nelle ipotesi in cui non risulti obbligatoria.
2) Nomina del responsabile privacy caso in cui le attività principali svolte dal titolare o dal responsabile del trattamento consistano nel monitoraggio regolare e sistematico su larga scala degli interessati
Per una corretta interpretazione di questa casistica, è opportuno chiarire cosa si intenda per “monitoraggio regolare e sistematico” e “larga scala”.
Il concetto di “monitoraggio regolare e sistematico”
Tale nozione non viene ben definita dal GDPR.
Tuttavia, l’analisi dei Considerando, unitamente a quanto affermato dal “Gruppo di lavoro Articolo 29” portano alle seguenti considerazioni:
- per “monitoraggio” si intende ogni forma di tracciamento e profilazione (es. a mezzo internet per finalità pubblicitarie). Tuttavia, è bene chiarire che il concetto di tracciamento non può limitarsi al contesto web, essendo quest’ultimo solo uno degli scenari possibili.
- per “regolare” si intende un trattamento che presenti almeno una delle seguenti caratteristiche:
- avvenga con cadenza costante e continuativa, ovvero con intervalli definiti in un preciso arco temporale;
- sia ricorrente o ripetuto con intervalli costanti;
- sia attuato in maniera cadenzata o ad intervalli periodici.
- per “sistematico” si intende un trattamento con almeno una delle seguenti caratteristiche:
- che venga attuato per sistema;
- che avvenga in maniera predeterminata, organizzata e metodica;
- che rispetti o si svolga all’interno di una strategia.
Alla luce di quanto precisato, alcuni esempi di attività rientranti nell’alveo del “monitoraggio regolare e sistematico” potrebbero essere: l’attività di marketing definite sulla base della raccolta e dell’analisi dei dati personali; la profilazione, lo scoring volto alla definizione e valutazione del rischio (si pensi alla valutazione del rischio creditizio, all’accertamento di modalità di riciclaggio, alla quantificazione dei premi assicurativi); la geolocalizzazione a mezzo di applicazioni; il monitoraggio dello stato di salute per mezzo di dispostivi indossabili; i programmi di fidelizzazione.
Il concetto di “larga scala”
Anche in questo caso il GDPR non fornisce una definizione precisa del concetto di larga scala, tuttavia vi sono dei fattori utili per identificare un trattamento svolto su larga scala.
A tal fine è necessario considerare:
a. il numero degli interessati, per quanto attiene allo specifico trattamento in esame (in termini percentuali oppure assoluti in relazione alla popolazione di riferimento);
b. il volume e le varie categorie di dati personali oggetto di trattamento;
c. l’arco temporale durante il quale si svolge il trattamento e la sua persistenza;
d. l’area geografica interessata dal trattamento.
Esempi di trattamenti svolti su larga scala potrebbero essere quelli posti in essere da un ospedale nei confronti dei pazienti, da una banca o da una compagnia assicurativa nei confronti dei propri clienti, oppure da un motore di ricerca per finalità pubblicitarie.
Al contrario, non possono ritenersi su larga scala le attività di trattamento poste in essere da un singolo professionista (es. avvocato, consulente del lavoro, commercialista, medico).
3) Nomina del DPO quando le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di particolari categorie di dati o di dati relativi a condanne penali o reati degli interessati
Anche in questo caso, per la nozione di “larga scala” valgono le considerazioni su riportate.
Per quanto attiene le particolari categorie di dati, invece, il GDPR fornisce un elenco esaustivo di quelli che devono essere considerati dati particolari, richiamando nello specifico i dati che rivelino: l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
Articolo originale pubblicato su Informazione Fiscale qui: Responsabile protezione dati (DPO): tutti i casi in cui è obbligatoria la nomina