Il Data Protection Officer secondo le linee guida del Gruppo di Lavoro Articolo 29

Nel corso del 2016 il Gruppo di Lavoro Articolo 29 dei Garanti Privacy europei (“A29WP”) aveva pubblicato 3 linee guida chiarificatorie su alcuni aspetti inerenti al Regolamento generale sulla protezione dei dati (“RGPD”), che avevano destato perplessità fin dalla loro pubblicazione. Più precisamente su:

  1. Il Data Protection Officer (DPO) (Art. 37);
  2. Il diritto alla portabilità dei dati (Art. 20);
  3. La determinazione dell’autorità di controllo capofila (Art. 56).

Affrontiamo più nel dettaglio il contenuto dei chiarimenti offerti dall’A29WP, iniziando con quest’articolo, dedicato al ruolo del Data Protection Officer.

Data Protection Officer: le Linee guida

Scopo delle presenti linee guida è chiarire come applicare le previsioni del RGPD merito alla figura del Data Protection Officer (“DPO”).

Il concetto di Data Protection Officer non è nuovo ed è stato già sviluppato in alcuni Stati membri dell’Unione, quale, ad esempio, la Germania. Secondo l’opinione dell’A29WP, questa figura è cruciale nella costruzione di una privacy veramente basata sul concetto di accountability e, nonostante dal punto di vista normativo la sua nomina sia obbligatoria solo in alcune ipotesi (si veda infra), l’opportunità della sua presenza si estenderebbe ben oltre tali necessarie casistiche.

Secondo quanto previsto dall’Art.37, la figura del Data Protection Officer risulta obbligatoria in soli tre casi:

Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:

  1. il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
  2. le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
  3. le attività̀ principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.

Le linee guida forniscono chiarimenti su alcuni concetti chiave usati nel RGPD che devono essere ben compresi e tradotti nella pratica per poter essere correttamente applicati.

“Autorità pubblica o organismo pubblico”

L’A29WP specifica che il RGPD non contiene una definizione di tali espressioni, ma a livello interpretativo considera opportuno che queste vengano ricondotte alle leggi nazionali dei singoli Stati. Si sottolinea inoltre che un incarico pubblico potrebbe essere espletato anche da organi diversi di natura privatistica, ma rientrare comunque nella definizione sopra indicata (ad esempio, nel caso di trasporti pubblici o forniture di energia). Anche se in questo caso l’obbligatorietà non sussisterebbe, l’articolo 29 raccomanda comunque la nomina del sopra citato organo.

“Attività principale del titolare o del responsabile che richieda monitoraggio regolare e sistematico degli interessati su larga scala”

Secondo l’interpretazione data dall’A29WP, il concetto di “attività principale” (“core activities” nella versione inglese) non deve essere intesa come l’attività esclusiva rispetto alla quale il trattamento dei dati sia secondariamente posto in essere, ma anche come una attività non principale, in cui il trattamento dei dati sia parte inestricabile. Per esempio, attività principale di un ospedale è fornire cure mediche, ma ciò non potrebbe essere efficacemente eseguito senza il trattamento dei dati sensibili dei pazienti. Di conseguenza, pur non essendo il trattamento effettuato l’attività principale dell’ospedale, esso richiede comunque la nomina del Data Protection Officer.

“Larga scala”

Ancora una volta il RGPD non fornisce una definizione di cosa si debba intendere per “larga scala” (nonostante i richiami contenuti in alcune sue parti come nel considerando 91).

Dal punto di vista interpretativo, una serie di elementi andrebbero considerati per poter ricavare tale nozione, quali il numero degli interessati coinvolti, il volume dei dati trattati, la durata delle attività di trattamento, l’estensione geografica del trattamento etc.

Un esempio di larga scala può consistere nel trattamento posto in essere da un singolo ospedale, nel tracciamento tramite carte di viaggio di un sistema di trasporto pubblico, nel trattamento di geolocalizzazione in tempo reale dei clienti di una catena di fast food per finalità statistiche, nelle attività di un istituto assicurativo o bancario.

Un esempio, invece, di ciò che non costituisce larga scala è il trattamento di dati dei pazienti da parte di un singolo medico o i dati giudiziali trattati da un singolo avvocato.

“Monitoraggio regolare e sistematico”

Ancora una volta, ciò non è espressamente definito, ancorché richiamato altrove (nel considerando 24) ed include sicuramente il tracciamento e la profilazione su internet delle abitudini di consumo degli utenti.

Si sottolinea, altresì, che la necessita di nomina del Data Protection Officer (DPO) si estrinseca sia per il titolare del trattamento che per il responsabile; ciò non significa automaticamente, tuttavia che vi sia una necessaria interdipendenza fra le posizioni dei due soggetti.

A titolo di esempio, si può citare una piccola attività familiare che, in quanto tale, non richiede alcuna nomina, ma che si serva di un responsabile esterno la cui attività consista in servizi di analisi del web e targeted marketing su larga scala, per il quale invece l’obbligo di nomina scatterebbe.