di Paolo Balboni

Il Data Protection Officer secondo le linee guida del Gruppo di Lavoro Articolo 29

Nel corso del 2016 il Gruppo di Lavoro Articolo 29 dei Garanti Privacy europei (“A29WP”) aveva pubblicato 3 linee guida chiarificatorie su alcuni aspetti inerenti al Regolamento generale sulla protezione dei dati (“RGPD”), che avevano destato perplessità fin dalla loro pubblicazione. Più precisamente su:

  1. Il Data Protection Officer (DPO) (Art. 37);
  2. Il diritto alla portabilità dei dati (Art. 20);
  3. La determinazione dell’autorità di controllo capofila (Art. 56).

Affrontiamo più nel dettaglio il contenuto dei chiarimenti offerti dall’A29WP, iniziando con quest’articolo, dedicato al ruolo del Data Protection Officer.

Data Protection Officer: le Linee guida

Scopo delle presenti linee guida è chiarire come applicare le previsioni del RGPD merito alla figura del Data Protection Officer (“DPO”).

Il concetto di Data Protection Officer non è nuovo ed è stato già sviluppato in alcuni Stati membri dell’Unione, quale, ad esempio, la Germania. Secondo l’opinione dell’A29WP, questa figura è cruciale nella costruzione di una privacy veramente basata sul concetto di accountability e, nonostante dal punto di vista normativo la sua nomina sia obbligatoria solo in alcune ipotesi (si veda infra), l’opportunità della sua presenza si estenderebbe ben oltre tali necessarie casistiche.

Secondo quanto previsto dall’Art.37, la figura del Data Protection Officer risulta obbligatoria in soli tre casi:

Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:

  1. il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
  2. le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
  3. le attività̀ principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.

Le linee guida forniscono chiarimenti su alcuni concetti chiave usati nel RGPD che devono essere ben compresi e tradotti nella pratica per poter essere correttamente applicati.

“Autorità pubblica o organismo pubblico”

L’A29WP specifica che il RGPD non contiene una definizione di tali espressioni, ma a livello interpretativo considera opportuno che queste vengano ricondotte alle leggi nazionali dei singoli Stati. Si sottolinea inoltre che un incarico pubblico potrebbe essere espletato anche da organi diversi di natura privatistica, ma rientrare comunque nella definizione sopra indicata (ad esempio, nel caso di trasporti pubblici o forniture di energia). Anche se in questo caso l’obbligatorietà non sussisterebbe, l’articolo 29 raccomanda comunque la nomina del sopra citato organo.

“Attività principale del titolare o del responsabile che richieda monitoraggio regolare e sistematico degli interessati su larga scala”

Secondo l’interpretazione data dall’A29WP, il concetto di “attività principale” (“core activities” nella versione inglese) non deve essere intesa come l’attività esclusiva rispetto alla quale il trattamento dei dati sia secondariamente posto in essere, ma anche come una attività non principale, in cui il trattamento dei dati sia parte inestricabile. Per esempio, attività principale di un ospedale è fornire cure mediche, ma ciò non potrebbe essere efficacemente eseguito senza il trattamento dei dati sensibili dei pazienti. Di conseguenza, pur non essendo il trattamento effettuato l’attività principale dell’ospedale, esso richiede comunque la nomina del Data Protection Officer.

“Larga scala”

Ancora una volta il RGPD non fornisce una definizione di cosa si debba intendere per “larga scala” (nonostante i richiami contenuti in alcune sue parti come nel considerando 91).

Dal punto di vista interpretativo, una serie di elementi andrebbero considerati per poter ricavare tale nozione, quali il numero degli interessati coinvolti, il volume dei dati trattati, la durata delle attività di trattamento, l’estensione geografica del trattamento etc.

Un esempio di larga scala può consistere nel trattamento posto in essere da un singolo ospedale, nel tracciamento tramite carte di viaggio di un sistema di trasporto pubblico, nel trattamento di geolocalizzazione in tempo reale dei clienti di una catena di fast food per finalità statistiche, nelle attività di un istituto assicurativo o bancario.

Un esempio, invece, di ciò che non costituisce larga scala è il trattamento di dati dei pazienti da parte di un singolo medico o i dati giudiziali trattati da un singolo avvocato.

“Monitoraggio regolare e sistematico”

Ancora una volta, ciò non è espressamente definito, ancorché richiamato altrove (nel considerando 24) ed include sicuramente il tracciamento e la profilazione su internet delle abitudini di consumo degli utenti.

Si sottolinea, altresì, che la necessita di nomina del Data Protection Officer (DPO) si estrinseca sia per il titolare del trattamento che per il responsabile; ciò non significa automaticamente, tuttavia che vi sia una necessaria interdipendenza fra le posizioni dei due soggetti.

A titolo di esempio, si può citare una piccola attività familiare che, in quanto tale, non richiede alcuna nomina, ma che si serva di un responsabile esterno la cui attività consista in servizi di analisi del web e targeted marketing su larga scala, per il quale invece l’obbligo di nomina scatterebbe.

Condividi su twitter
Condividi su linkedin
Condividi su email

Pubblicato il:

Ti interesserà leggere anche

Non perdere le novità

Non perdere le ultime novità dal mondo della Privacy e GDPR

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.

Unisciti a Privacy Revolution!

Iscrivendoti a Privacy Revolution riceverai gratuitamente aggiornamenti sulle ultime novità in campo Privacy, GDPR e Compliance, inviti a webinar ed eventi speciali!

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.