CASI DI NOMINA DEL DATA PROTECTION OFFICER (DPO) / by Giampietro Malusa

Lo scorso 13 dicembre il c.d. WP29 (Article 29 Data Protection Working Party, cioè Gruppo di lavoro ex Articolo 29, un organismo europeo dei Garanti privacy) ha adottato delle best practices e linee guide sulla nomina del “Data protection officer” (DPO) o “responsabile della protezione dei dati”, figura prevista dal nuovo Regolamento Privacy Europeo (artt. 37-39).

In particolare, il Gruppo di lavoro ha cercato di fornire alcune indicazioni per l’interpretazione dei concetti di “attività principali” e “larga scala” di cui all’art. 37, comma 1, lettere b) e c) del Regolamento, utili ai fini dell’individuazione di alcune delle ipotesi in cui è necessaria la nomina del DPO.

Recita infatti il primo comma dell’articolo 37: “Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:

a.   il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

b.   le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure

c.   le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10.” (nota nostra: si tratta in sostanza di dati sensibili e giudiziari).

In base a quanto chiarito dal WP29, il concetto di attività principali” deve essere interpretato come riferito alle operazioni–chiave necessarie per perseguire gli obiettivi del titolare o del responsabile del trattamento. Secondo il Gruppo di lavoro, tutte le organizzazioni svolgono, ad esempio, attività standard IT, ma queste tuttavia di solito sono considerate funzioni accessorie. Al contrario, per un ospedale, o per una società di sicurezza privata che si occupa della sorveglianza di un certo numero di centri commerciali privati e di spazi pubblici, per esempio, anche se le loro attività principali sono, rispettivamente, fornire assistenza sanitaria e la sorveglianza, dette attività sono inscindibilmente legate al trattamento dei dati personali (nel caso dell’ospedale, non si potrebbe fornire un servizio sicuro ed efficace senza il trattamento dei dati relativi alla salute, e gli spazi pubblici o i centri commerciali non potrebbero essere adeguatamente sorvegliati senza il trattamento delle immagini della videosorveglianza). In questi casi è quindi necessaria, secondo il Gruppo di lavoro, la nomina di un DPO.

Inutile dire che queste indicazioni non fugano ogni dubbio. Viene infatti da chiedersi, per esempio, se l’attività di profilazione della clientela operata da tutte le catene della grande distribuzione possa essere considerata una mera funzione accessoria – e quindi non sia necessaria la nomina del DPO – o se, al contrario, in considerazione del fatto che ormai la grande distribuzione moderna non può in realtà fare a meno di conoscere gusti, abitudini e attitudini al consumo dei propri clienti, per essa la profilazione risulti essere un’attività inscindibilmente connessa con l’attività principale, e sia conseguentemente necessaria la nomina del DPO.

Quanto al concetto di “larga scala”, il WP29 ha escluso la possibilità di stabilire, per la sussistenza di questa ipotesi, un numero preciso, sia per quanto riguarda la quantità di dati trattati, sia per quanto riguarda il numero di persone interessate (anche se il Gruppo di Lavoro non esclude che in futuro, per alcuni tipi di attività comuni, possa svilupparsi una pratica standard). Il WP29 si è quindi limitato a indicare dei parametri da tenere presenti: il numero di persone interessate (sia come numero specifico, sia come percentuale della popolazione rilevante); il volume di dati e/o la gamma di differenti elementi di dati trattati; la durata, o la permanenza, dell’attività di elaborazione dei dati; l’estensione geografica dell’attività del trattamento.

Come esempi di trattamenti su larga scala, il Gruppo ha citato:

-       l’elaborazione dei dati in tempo reale di geo-localizzazione di clienti di una catena di fast food internazionale a fini statistici da parte di un responsabile specializzato nella fornitura di questi servizi;

-       il trattamento dei dati personali (profilazione) per la pubblicità di un motore di ricerca;

-       il trattamento dei dati (i contenuti, il traffico, la posizione) da parte dei fornitori di servizi telefonici o Internet;

-       il trattamento dei dati dei clienti nel normale corso di attività da una compagnia di assicurazioni o da una banca.

 

Fonte:  WP29 (http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf)