Nel Plenary meeting dello scorso 5 Aprile, il Gruppo di Lavoro Articolo 29 dei Garanti Privacy europei (“A29WP”) ha aggiornato e approvato le linee guida sul DPO, Data Protection Officer, ruolo previsto dall’Art. 37 del Regolamento UE 2016/679 (“GDPR”).

Il concetto di DPO non è nuovo nel panorama europeo e anzi è già presente da svariati anni in alcuni Stati membri dell’Unione, quale, ad esempio, la Germania. Secondo l’opinione dell’A29WP, questa figura è cruciale nella costruzione di una privacy veramente basata sul concetto di accountability e, nonostante dal punto di vista normativo la sua nomina sia obbligatoria solo in alcune ipotesi (si veda infra), le opportunità di poter giovare della sua presenza si estenderebbero ben oltre tali necessarie casistiche.

Secondo quanto previsto dall’Art. 37 GDPR, la figura del DPO risulta obbligatoria in soli tre casi, ovvero ogni qualvolta:

  1. a) il trattamento è effettuato da un’autorità̀ pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
  2. b) le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
  3. c) le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’Art. 9 o di dati relativi a condanne penali e a reati di cui all’Art. 10.

Le linee guida forniscono chiarimenti su alcuni concetti chiave usati in questi 3 casi, che devono essere ben compresi per poter essere correttamente tradotti nella pratica.

“Autorità pubblica o organismo pubblico”

L’A29WP specifica che il GDPR non contiene una definizione di tali espressioni, ma a livello interpretativo considera opportuno che queste vengano ricondotte alle leggi nazionali dei singoli Stati. Si sottolinea inoltre che un incarico pubblico potrebbe essere espletato anche da organi di natura privatistica, ma rientrare comunque nella definizione sopra indicata (ad esempio, nel caso di trasporti pubblici o forniture di energia). Anche se in questo caso l’obbligatorietà non sussisterebbe, l’A29WP raccomanda comunque la nomina di un DPO.

“Attività principale del titolare o del responsabile”

Secondo l’interpretazione data dall’A29WP, il concetto di “attività principale” (“core activities” nella versione inglese) non deve essere intesa come quell’attività esclusiva rispetto alla quale il trattamento dei dati sia secondariamente posto in essere, ma anche come un’attività non principale, in cui il trattamento dei dati sia parte inestricabile. Esemplificando, l’attività principale di un ospedale è fornire cure mediche, ma ciò non potrebbe essere efficacemente eseguito senza il trattamento dei dati sensibili dei pazienti. Di conseguenza, pur non essendo il trattamento effettuato l’attività principale dell’ospedale, esso richiede comunque la nomina del DPO.

“Larga scala”

Ancora una volta il GDPR non fornisce una definizione di cosa si debba intendere per “larga scala” (nonostante i richiami contenuti in alcune sue parti come nel considerando 91).

Dal punto di vista interpretativo, l’A29WP fornisce una serie di elementi che andrebbero considerati per poter ricavare tale nozione, quali il numero degli interessati coinvolti, il volume dei dati trattati, la durata delle attività di trattamento o l’estensione geografica del trattamento.

Un esempio di larga scala può consistere nel trattamento posto in essere da un singolo ospedale, nel tracciamento di carte di viaggio da parte di una società di trasporti pubblici, nel trattamento di geolocalizzazione in tempo reale dei clienti di una catena di fast food per finalità statistiche o nelle attività di un istituto assicurativo o bancario.

Un esempio, invece, di ciò che non costituisce larga scala secondo l’A20WP è il trattamento di dati dei pazienti da parte di un singolo medico o i dati giudiziari trattati da un singolo avvocato.

“Monitoraggio regolare e sistematico”

Ancora una volta, ciò non è espressamente definito, ancorché richiamato altrove (nel considerando 24) e include sicuramente (ma non solo) il tracciamento e la profilazione su Internet delle abitudini di consumo degli utenti.

L’A29WP interpreta ‘regolare’ secondo uno o più dei seguenti elementi: i) in corso o che si verifica a intervalli specifici per un determinato periodo; ii) ricorrente o ripetuto in tempi fissi; iii) costante o periodico.

Al contrario, “sistematico” intende un trattamento che si svolge attraverso un sistema, una strategia, preorganizzato, organizzato o metodico ovvero che si svolge nell’ambito di un piano generale per la raccolta dei dati.

Rispetto alla prima bozza pubblicata a dicembre dello scorso anno, le linee guida appena approvate specificano ulteriori aspetti sul ruolo e le funzioni del DPO che si possono riassumere sinteticamente nei seguenti concetti:

Reperibilità: Il DPO deve essere disponibile in loco o attraverso linee di comunicazione (e-mail, hotline) facilmente conoscibili e fruibili dagli interessati nella loro lingua. Nel caso si optasse per la presenza fisica, l’A29WP raccomanda che il DPO sia stabilito sul territorio, ammettendo tuttavia che in alcuni casi possa essere stabilito anche al di fuori.

Professionalità ed esperienza: il DPO deve avere: competenza sulla normativa nazionale ed europea sulla protezione dei dati, tra cui una comprensione approfondita del GDPR; contezza dei trattamenti di dati svolti; comprensione delle tecnologie dell’informazione e della sicurezza dei dati; conoscenza del settore aziendale e dell’organizzazione di cui sarà parte e la capacità di promuovere una cultura della protezione dei dati all’interno dell’organizzazione. Tali requisiti si applicano cumulativamente anche al DPO esterno (es. uno studio legale) e a tutti i suoi componenti.

Risorse e indipendenza: il DPO deve avere: risorse sufficienti in termini economici e di tempo per svolgere le proprie funzioni; accesso ai servizi e alle strutture che trattano dati personali; supporto attivo da parte del management e la possibilità di formazione continua. Per svolgere la propria funzione non deve inoltre: ricevere istruzioni relativi alle proprie funzioni dal titolare o dal responsabile del trattamento; essere licenziato o penalizzato per aver svolto le proprie funzioni; essere in conflitto di interesse con altre proprie funzioni o compiti (es. CEO, CFO, Head of Marketing, HR or IT teams).

Funzioni: il DPO ha il compito di: identificare, analizzare e verificare la compliance dei trattamenti di dati svolti; informare e consigliare il Titolare o il Responsabile sulle azioni di allineamento da intraprendere tra cui, a titolo esemplificativo, la necessità di Data Protection Impact Assessment (DPIA), quale metodologia seguire, se esternalizzare questa attività nonché verificare che le rispettive risultanze siano corrette.

Consigli pratici

Le linee guida hanno il pregio di aver dato un primo chiarimento sui casi in cui è necessario (o consigliabile) nominare un DPO, nonché i requisiti e le funzioni che quest’ultimo deve soddisfare. Spetta ora alle organizzazioni trovare una figura, interna o esterna alla propria struttura, in grado di guidarle nel processo di compliance che le aspetta nei prossimi 11 mesi.

Ti interesserà leggere anche

Non perdere le novità

Non perdere le ultime novità dal mondo della Privacy e GDPR

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Condividi su twitter
Condividi su linkedin
Condividi su email

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.

Unisciti a Privacy Revolution!

Iscrivendoti a Privacy Revolution riceverai gratuitamente aggiornamenti sulle ultime novità in campo Privacy, GDPR e Compliance, inviti a webinar ed eventi speciali!

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.