Quando è obbligatoria la nomina di un data protection officer? I chiarimenti dell' "article 29 working party" sul regolamento europeo

Quando è obbligatoria la nomina di un data protection officer? I chiarimenti dell' "article 29 working party" sul regolamento europeo

A cura di Damiana Lesce e Valeria De Lucia

 

Una delle maggiori novità del Regolamento Europeo del 25 maggio 2016 in materia di privacy è rappresentata dall'introduzione della figura del data protection officer (o responsabile della protezione dei dati). Il DPO era già stato introdotto, come obbligatorio, in alcuni ordinamenti europei, tra cui la Germania, l'Austria e la Repubblica Ceca; in altri ordinamenti, come la Francia, la nomina di tale soggetto è facoltativa.

Negli ultimi mesi, ampio è stato il dibattito sui casi nei quali sia obbligatorio per un ente o una azienda nominare un Data Protection Officer.

A fornire qualche chiarimento (senza tuttavia fugare ogni dubbio interpretativo) sono intervenute le Linee-guida del 13 dicembre 2016 sui responsabili della protezione dei dati redatte da Article 29 Working Party, organismo consultivo e indipendente, composto da un rappresentante delle autorità di protezione dei dati personali designate da ciascuno Stato membro, dal GEPD (Garante europeo della protezione dei dati), nonché da un rappresentante della Commissione.

► QUANDO LA NOMINA E' OBBLIGATORIA

A mente del Regolamento (art. 37), la nomina del DPO è obbligatoria:
a) se il trattamento è svolto da un'autorità pubblica o da un organismo pubblico, con l'eccezione delle autorità giudiziarie nell'esercizio delle funzioni giurisdizionali; oppure
b) se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; oppure
c) se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.
Si tenga presente che la designazione obbligatoria di un DPO può essere prevista anche in casi ulteriori in base alla legge nazionale o al diritto comunitario. Inoltre, anche ove il regolamento non imponga in modo specifico la designazione di un DPO, può risultare utile procedere a tale designazione su base volontaria. Il Gruppo di lavoro "Articolo 29", così come il Garante italiano, incoraggiano un tale approccio "cautelativo".

► AUTORITA' PUBBLICHE E ORGANISMI PUBBLICI

Partendo dall'ipotesi sub a), nel regolamento non si rinviene alcuna definizione di "autorità pubblica" o "organismo pubblico". Il Working Party ritiene che tale definizione debba essere interpretata conformemente a (ciascun) diritto nazionale.
E tuttavia, è bene evidenziare che nelle Linee guida del 13 dicembre 2016 viene "raccomandata" la nomina del DPO anche per quegli "organismi privati incaricati di funzioni pubbliche o che esercitano pubblici poteri".
Inoltre il Working Party rammenta che, una volta nominato, il DPO dovrebbe svolgere la propria attività non solo con riguardo ai trattamenti strettamente connessi all'espletamento di funzioni pubbliche ma anche ad altre attività quali, per esempio, la gestione di un database del personale.


►TRATTAMENTI SU LARGA SCALA

Nelle ipotesi sub lettere b) e c) dell'art. 37, paragrafo 1 del Regolamento risulta dirimente, al fine di valutare se sussista o meno l'obbligo di nomina di un DPO, è che il trattamento avvenga su "larga scala".
Il Regolamento non fornisce una definizione di "trattamento su larga scala", anche se il considerando 91 fornisce indicazioni in proposito, ricomprendendovi, in particolare, "trattamenti… che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato". D'altro canto, lo stesso considerando prevede in modo specifico che "Il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato".
Le linee guida evidenziano come fra tali estremi si colloca un'ampia zona grigia e che in realtà risulta impossibile precisare la quantità di dati oggetto di trattamento o il numero di interessati in modo da coprire tutte le eventualità.
Ad ogni modo, il Working Party raccomanda di tenere conto, in particolare, dei seguenti fattori:
- il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
- il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
- la durata, ovvero la persistenza, dell'attività di trattamento;
- la portata geografica dell'attività di trattamento.

►MONITORAGGIO REGOLARE E SISTEMATICO

Anche il concetto di "monitoraggio regolare e sistematico degli interessati" non trova definizione nel Regolamento; a mente del considerando 24, vi rientra certamente ogni forma di tracciamento e profilazione su Internet anche per finalità di pubblicità comportamentale.
Le linee guida evidenziano tuttavia che la nozione di monitoraggio non trova applicazione solo con riguardo all'ambiente online.
L'aggettivo "regolare" ha almeno uno dei seguenti significati a giudizio del Working Party:
- che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito;
- ricorrente o ripetuto a intervalli costanti;
- che avviene in modo costante o a intervalli periodici.
L'aggettivo "sistematico" ha almeno uno dei seguenti significati a giudizio del Working Party:
- che avviene per sistema;
- predeterminato, organizzato o metodico;
- che ha luogo nell'ambito di un progetto complessivo di raccolta di dati;
- svolto nell'ambito di una strategia.
Le linee guida forniscono anche alcune utili esemplificazioni di attività di monitoraggio sistematico e regolare, tra le quali: il curare il funzionamento di una rete di telecomunicazioni; la prestazione di servizi di telecomunicazioni; il tracciamento dell'ubicazione, per esempio da parte di app su dispositivi mobili; i programmi di fidelizzazione; l'utilizzo di telecamere a circuito chiuso; i dispositivi connessi quali contatori intelligenti, automobili intelligenti, dispositivi per la domotica.

In conclusione, le Linee Guida forniscono utili chiarimenti, ma non sono sufficienti a dissipare tutti i quesiti interpretativi specie sulla nozione di trattamento "su larga scala".
Il Working Party evidenzia come sia probabile che col tempo, verranno via via individuati alcuni standard utili a specificare in termini oggettivi e quantitativi cosa debba intendersi per "larga scala" con riguardo ad alcune tipologie di trattamento maggiormente comuni.
È evidente che, finché tali standard non verranno individuati, l'atteggiamento più prudente sarà quello di nominare un DPO nei casi "dubbi".

Tags

See all