Stampa l'articolo Chiudi

osservatorio privacy

Data Protection Officer: le linee guida sulla nuova figura introdotta dal Regolamento UE 679/2016




Avv. Cristiano Cominotto – Avv. Anna Minichiello – Dott. Francesco Curtarelli
AssistenzaLegalePremium.it


Il 13 dicembre 2016 sono state pubblicate dall' "Article 29 data protection workin party" (organismo consultivo e indipendente dell'Unione Europea sulla protezione e sul trattamento dei dati personali) le linee guida sul Data Protection Officer (DPO) - responsabile della protezione dei dati.

La nuova figura del DPO, introdotta dal Regolamento UE 679/2016 (GDPR) e già illustrata in precedenza (si veda a tal proposito l'articolo dell' "OSSERVATORIO PRIVACY - DPO - Data Protection Officer: il responsabile della protezione dei dati personali " ), viene ripresa e descritta in maniera più completa dal Gruppo Articolo 29 (WP29), sciogliendo i principali dubbi circa tale ruolo.

Innanzitutto viene specificato quando è obbligatorio per il titolare e/o per il responsabile del trattamento nominare un DPO.

L'art. 37 del GDPR infatti, nello stabilire i casi mandatori in cui il responsabile della protezione dei dati deve essere nominato ("Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:

a)[…];

b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala […]), lasciava molto (troppo) spazio interpretativo riguardo ai concetti di "attività principali", "monitoraggio regolare e sistematico" e "larga scala".

Rispetto alla definizione di "attività principale", le linee guida forniscono alcune esemplificazioni sia in senso positivo che negativo: l'attività principale di un ospedale è fornire assistenza sanitaria.

Tale assistenza, però, non può essere fornita senza che si elaborino e si trattino dati sulla salute dei pazienti.

Essendoci un così stretto legame tra il "core business" e l'attività di trattamento, anche quest'ultima viene fatta rientrare nell'alveo delle attività principali e, di conseguenza, ogni ospedale dovrà designare un DPO. Un simile ragionamento si può fare con una società di vigilanza privata: l'attività di sorveglianza è indissolubilmente legata all'attività di trattamento dei dati personali relativi e, quindi, l'attività principale comprenderà non solo la prima attività, ma anche la seconda.

Diversamente, sebbene tutte le imprese trattino necessariamente dei dati personali (ad esempio per i pagamenti dei dipendenti…), tuttavia non ricade su di esse l'obbligo di nominare il DPO: le citate attività di trattamento dati, per quanto indispensabili ed essenziali, sono considerate "ancillary" e quindi di supporto al "core business".

Per quanto riguarda invece il concetto di "monitoraggio regolare e sistematico", tale nozione include non solo tutti i vari strumenti di tracciatura elettronica e profilazione on line, ma anche qualsiasi forma di tracciatura in un ambiente off-line.

Il WP29 definisce "regolare" quel monitoraggio che avviene di continuo o ad intervalli particolari per un certo periodo e quello che si ripete sempre in un dato momento.

Il monitoraggio è poi "sistematico" quando si verifica in base ad uno schema o ad un modello o quando è organizzato, metodico, prestabilito, o quando rientra a far parte di un piano generale o di una strategia.

Vengono in seguito esplicitati quattro elementi da tenere in considerazione per valutare se il trattamento viene effettuato o meno su "larga scala":

a) il numero degli interessati coinvolti;

b) la quantità dei dati e/o il tipo dei dati oggetto di trattamento;

c) la durata o la permanenza del processo di trattamento dei dati;

d) l'estensione geografica del trattamento.

Infine, per chiarire ancor meglio la portata di tale nozione, vengono fatte alcune esemplificazioni: sono da considerarsi trattamenti su larga scala l'elaborazione dei dati dei pazienti di un ospedale, il trattamento dei dati di viaggio dei soggetti che utilizzano un sistema di trasporto pubblico di una città (ad esempio il monitoraggio attraverso carte di viaggio), l'elaborazione in tempo reale dei dati di geo-localizzazione della clientela per fini statistici, il trattamento dei dati dei clienti da parte di una banca o di un'assicurazione, il trattamento dei dati personali per la pubblicità comportamentale (cookies di profilazione) e il trattamento dei dati da parte dei fornitori di servizi telefonici e/o internet (contenuti, traffico, posizione…).

Non sono invece da ritenere elaborazioni su larga scala quei trattamenti di dati personali relativi ai pazienti di un singolo medico o ai clienti di un singolo avvocato.

Saranno poi le pronunce e i provvedimenti delle autorità di controllo nazionali ed europee a sviluppare una prassi e una giurisprudenza rispetto agli ulteriori e più specifici casi che di volta in volta si presenteranno alla loro attenzione.