Il Regolamento europeo sulla privacy, alla cui entrata in vigore mancano ormai poco più di tre mesi (25 maggio 2018), introduce la figura del Responsabile della protezione dei dati personali (anche detto Data Protection Officer), al quale spettano compiti di sorveglianza sulla corretta applicazione del Regolamento ai fini della protezione dei dati.

Il Data Protection Officer deve avere una conoscenza specialistica della normativa e della prassi in materia di protezione dei dati e deve avere le capacità necessarie per assolvere i compiti di cui è investito.

Ai sensi dell’art. 37 del Regolamento, infatti, il Data Protection Officer (DPO) deve essere nominato:

- quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico (ad eccezione delle autorità giurisdizionali, nell’esercizio di tali funzioni);

- quando le attività principali del titolare del trattamento o del responsabile del trattamento  consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

- quando le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’art. 9 del Regolamento o di dati relativi a condanne penali e a reati di cui all’articolo 10 del Regolamento.

Con riferimento alla prima ipotesi, nel Regolamento non si rinviene alcuna definizione di “autorità pubblica” o “organismo pubblico”; dovrà quindi farsi necessario riferimento alla relativa nozione prevista dal diritto nazionale dei singoli stati membri.

Anche le altre due ipotesi contengono definizioni che richiedono un’operazione interpretativa, di cui di seguito si cerca di dare una spiegazione, anche affidandosi ad esempi pratici.

Attività principali

L’articolo 37 del Regolamento contiene un riferimento alle “attività principali del titolare del trattamento o del responsabile del trattamento”. Nel considerando 97 si afferma che le attività principali di un titolare del trattamento “riguardano le sue attività primarie ed esulano dal trattamento dei dati personali come attività accessoria”. Con “attività principali” si possono intendere le operazioni essenziali che sono necessarie al raggiungimento degli obiettivi perseguiti dal titolare del trattamento o dal responsabile del trattamento.

Tuttavia, l’espressione “attività principali” non va interpretata nel senso di escludere quei casi in cui il trattamento di dati costituisce una componente inscindibile dalle attività svolte dal titolare del trattamento o dal responsabile del trattamento.

Per esempio, l’attività principale di un ospedale consiste nella prestazione di assistenza sanitaria, ma non sarebbe possibile prestare tale assistenza nel rispetto della sicurezza e in modo efficace senza trattare dati relativi alla salute, come le informazioni contenute nella cartella sanitaria di un paziente.

A titolo di ulteriore esemplificazione, si può citare il caso di un’impresa di sicurezza privata incaricata della sorveglianza di più centri commerciali e aree pubbliche. L’attività principale dell’impresa consiste nella sorveglianza, e questa, a sua volta, è legata in modo inscindibile al trattamento di dati personali. Ne consegue che anche l’impresa in oggetto deve nominare un DPO.

Larga scala

In base regolamento, occorre che il trattamento di dati personali avvenga su larga scala per far scattare l’obbligo di nomina di un DPO. Nel regolamento non si dà alcuna definizione di trattamento su larga scala, anche se il considerando 91 fornisce indicazioni in proposito: rientrano in tale definizione i “trattamenti su larga scala, che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato”.

In realtà è impossibile precisare la quantità di dati oggetto di trattamento o il numero di interessati in modo da coprire tutte le eventualità; tuttavia, vi sono alcuni fattori che possono essere di aiuto al fine di stabilire se un trattamento sia effettuato su larga scala:

  • il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
  • il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
  • la durata, ovvero la persistenza, dell’attività di trattamento;
  • la portata geografica dell’attività di trattamento.

Alcuni esempi di trattamento su larga scala sono i seguenti:

  • trattamento di dati relativi a pazienti svolto da un ospedale nell’ambito delle ordinarie attività;
  • trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio);
  • trattamento di dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile del trattamento specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food;
  • trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività;
  • trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale;
  • trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici.

Monitoraggio regolare e sistematico

Il concetto di monitoraggio regolare e sistematico degli interessati non trova definizione all’interno del Regolamento; tuttavia, il considerando 24 menziona il “monitoraggio del comportamento di detti interessati” ricomprendendovi senza dubbio tutte le forme di tracciamento e profilazione su Internet anche per finalità di pubblicità comportamentale.

L’aggettivo “regolare” ha almeno uno dei seguenti significati:

  • che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito;
  • ricorrente o ripetuto a intervalli costanti;
  • che avviene in modo costante o a intervalli periodici.

Alcune esemplificazioni di attività che possono configurare un monitoraggio regolare e sistematico di interessati:

  • curare il funzionamento di una rete di telecomunicazioni o la prestazione di servizi di telecomunicazioni;
  • il reindirizzamento di messaggi di posta elettronica;
  • attività di marketing basate sull’analisi dei dati raccolti;
  • profilazione e scoring per finalità di valutazione del rischio (per esempio, a fini di valutazione del rischio creditizio, definizione dei premi assicurativi, prevenzione delle frodi, accertamento di forme di riciclaggio);
  • tracciamento dell’ubicazione, per esempio da parte di app su dispositivi mobili; programmi di fidelizzazione; pubblicità comportamentale; monitoraggio di dati relativi allo stato di benessere psicofisico, alla forma fisica e alla salute attraverso dispositivi indossabili;
  • utilizzo di telecamere a circuito chiuso; dispositivi connessi quali contatori intelligenti, automobili intelligenti, dispositivi per la domotica, ecc.

Al di fuori di tali casi, e salvo l’introduzione di ulteriori ipotesi da parte del Legislatore nazionale o europeo, non è obbligatorio munirsi del Data Protection Officer.

L’articolo 39 del Regolamento disciplina i compiti del responsabile della protezione dei dati, ai quali possono esserne aggiunti di ulteriori. In primo luogo, il DPO è il “sorvegliante” della corretta applicazione di quanto previsto dal Regolamento e dalle ulteriori disposizioni nazionali o europee in materia di protezione dei dati. Egli deve sorvegliarne l’osservanza, anche con riferimento all’attribuzione delle responsabilità, alla sensibilizzazione e alla formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo.

Il DPO è, inoltre, tenuto a informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento, nonché ai dipendenti che eseguono il trattamento dei dati, sugli obblighi derivanti da Regolamento e dalle ulteriori disposizioni nazionali o europee in materia di protezione dei dati.

Con riguardo alla valutazione d’impatto, il Data Protection Officer deve sorvegliarne lo svolgimento e, se richiesto, fornire un suo parere.

Il DPO è, inoltre, un punto di contatto, sia per le autorità di controllo (verso le quali ha anche un obbligo di cooperazione che per i soggetti interessati. È, infatti, il soggetto a cui sono indirizzate tutte le comunicazioni degli interessati relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal presente regolamento.

Nell’esecuzione di tutti i suoi compiti, il DPO deve tenere in debito conto i rischi inerenti al trattamento dei dati personali, avendo riguardo alla natura, all’ambito di applicazione, al contesto e alle finalità del trattamento.

Chiedere è lecito, rispondere è cortesia.

Hai bisogno di assistenza, ma non sai a chi rivolgerti?
Richiedi una consulenza adesso.  CONTATTACI

Questo sito utilizza cookie e tecnologie simili.

Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Per saperne di piu'

Approvo