Nel Plenary meeting dello scorso 5 Aprile, il Gruppo di Lavoro Articolo 29 dei Garanti Privacy europei (“A29WP”) ha aggiornato e approvato le linee guida sul DPO, Data Protection Officer, ruolo previsto dall’Art. 37 del Regolamento UE 2016/679 (“GDPR”).

Il concetto di DPO non è nuovo nel panorama europeo e anzi è già presente da svariati anni in alcuni Stati membri dell’Unione, quale, ad esempio, la Germania. Secondo l’opinione dell’A29WP, questa figura è cruciale nella costruzione di una privacy veramente basata sul concetto di accountability e, nonostante dal punto di vista normativo la sua nomina sia obbligatoria solo in alcune ipotesi (si veda infra), le opportunità di poter giovare della sua presenza si estenderebbero ben oltre tali necessarie casistiche.

Secondo quanto previsto dall’Art. 37 GDPR, la figura del DPO risulta obbligatoria in soli tre casi, ovvero ogni qualvolta:

  1. a) il trattamento è effettuato da un’autorità̀ pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
  2. b) le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
  3. c) le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’Art. 9 o di dati relativi a condanne penali e a reati di cui all’Art. 10.

Le linee guida forniscono chiarimenti su alcuni concetti chiave usati in questi 3 casi, che devono essere ben compresi per poter essere correttamente tradotti nella pratica.

“Autorità pubblica o organismo pubblico”

L’A29WP specifica che il GDPR non contiene una definizione di tali espressioni, ma a livello interpretativo considera opportuno che queste vengano ricondotte alle leggi nazionali dei singoli Stati. Si sottolinea inoltre che un incarico pubblico potrebbe essere espletato anche da organi di natura privatistica, ma rientrare comunque nella definizione sopra indicata (ad esempio, nel caso di trasporti pubblici o forniture di energia). Anche se in questo caso l’obbligatorietà non sussisterebbe, l’A29WP raccomanda comunque la nomina di un DPO.

“Attività principale del titolare o del responsabile”

Secondo l’interpretazione data dall’A29WP, il concetto di “attività principale” (“core activities” nella versione inglese) non deve essere intesa come quell’attività esclusiva rispetto alla quale il trattamento dei dati sia secondariamente posto in essere, ma anche come un’attività non principale, in cui il trattamento dei dati sia parte inestricabile. Esemplificando, l’attività principale di un ospedale è fornire cure mediche, ma ciò non potrebbe essere efficacemente eseguito senza il trattamento dei dati sensibili dei pazienti. Di conseguenza, pur non essendo il trattamento effettuato l’attività principale dell’ospedale, esso richiede comunque la nomina del DPO.

“Larga scala”

Ancora una volta il GDPR non fornisce una definizione di cosa si debba intendere per “larga scala” (nonostante i richiami contenuti in alcune sue parti come nel considerando 91).

Dal punto di vista interpretativo, l’A29WP fornisce una serie di elementi che andrebbero considerati per poter ricavare tale nozione, quali il numero degli interessati coinvolti, il volume dei dati trattati, la durata delle attività di trattamento o l’estensione geografica del trattamento.

Un esempio di larga scala può consistere nel trattamento posto in essere da un singolo ospedale, nel tracciamento di carte di viaggio da parte di una società di trasporti pubblici, nel trattamento di geolocalizzazione in tempo reale dei clienti di una catena di fast food per finalità statistiche o nelle attività di un istituto assicurativo o bancario.

Un esempio, invece, di ciò che non costituisce larga scala secondo l’A20WP è il trattamento di dati dei pazienti da parte di un singolo medico o i dati giudiziari trattati da un singolo avvocato.

“Monitoraggio regolare e sistematico”

Ancora una volta, ciò non è espressamente definito, ancorché richiamato altrove (nel considerando 24) e include sicuramente (ma non solo) il tracciamento e la profilazione su Internet delle abitudini di consumo degli utenti.

L’A29WP interpreta ‘regolare’ secondo uno o più dei seguenti elementi: i) in corso o che si verifica a intervalli specifici per un determinato periodo; ii) ricorrente o ripetuto in tempi fissi; iii) costante o periodico.

Al contrario, “sistematico” intende un trattamento che si svolge attraverso un sistema, una strategia, preorganizzato, organizzato o metodico ovvero che si svolge nell’ambito di un piano generale per la raccolta dei dati.

Rispetto alla prima bozza pubblicata a dicembre dello scorso anno, le linee guida appena approvate specificano ulteriori aspetti sul ruolo e le funzioni del DPO che si possono riassumere sinteticamente nei seguenti concetti:

Reperibilità: Il DPO deve essere disponibile in loco o attraverso linee di comunicazione (e-mail, hotline) facilmente conoscibili e fruibili dagli interessati nella loro lingua. Nel caso si optasse per la presenza fisica, l’A29WP raccomanda che il DPO sia stabilito sul territorio, ammettendo tuttavia che in alcuni casi possa essere stabilito anche al di fuori.

Professionalità ed esperienza: il DPO deve avere: competenza sulla normativa nazionale ed europea sulla protezione dei dati, tra cui una comprensione approfondita del GDPR; contezza dei trattamenti di dati svolti; comprensione delle tecnologie dell’informazione e della sicurezza dei dati; conoscenza del settore aziendale e dell’organizzazione di cui sarà parte e la capacità di promuovere una cultura della protezione dei dati all’interno dell’organizzazione. Tali requisiti si applicano cumulativamente anche al DPO esterno (es. uno studio legale) e a tutti i suoi componenti.

Risorse e indipendenza: il DPO deve avere: risorse sufficienti in termini economici e di tempo per svolgere le proprie funzioni; accesso ai servizi e alle strutture che trattano dati personali; supporto attivo da parte del management e la possibilità di formazione continua. Per svolgere la propria funzione non deve inoltre: ricevere istruzioni relativi alle proprie funzioni dal titolare o dal responsabile del trattamento; essere licenziato o penalizzato per aver svolto le proprie funzioni; essere in conflitto di interesse con altre proprie funzioni o compiti (es. CEO, CFO, Head of Marketing, HR or IT teams).

Funzioni: il DPO ha il compito di: identificare, analizzare e verificare la compliance dei trattamenti di dati svolti; informare e consigliare il Titolare o il Responsabile sulle azioni di allineamento da intraprendere tra cui, a titolo esemplificativo, la necessità di Data Protection Impact Assessment (DPIA), quale metodologia seguire, se esternalizzare questa attività nonché verificare che le rispettive risultanze siano corrette.

Consigli pratici

Le linee guida hanno il pregio di aver dato un primo chiarimento sui casi in cui è necessario (o consigliabile) nominare un DPO, nonché i requisiti e le funzioni che quest’ultimo deve soddisfare. Spetta ora alle organizzazioni trovare una figura, interna o esterna alla propria struttura, in grado di guidarle nel processo di compliance che le aspetta nei prossimi 11 mesi.