Lo scorso 13 dicembre il Gruppo dei Garanti UE (WP29) ha approvato i primi documenti contenenti indicazioni sul Regolamento 2016/679 sulla protezione dei dati. Fra questi vi sono i primi chiarimenti sul Data Protection Officer (DPO).
|
Le linee guida sul DPO (al momento disponibili solo in lingua inglese) consentono, in attesa delle schede di approfondimento da parte del Garante nazionale, di trarre le prime importanti indicazioni da parte del WP29.
In questo articolo si tratteranno in particolare i casi in cui è prevista la designazione obbligatoria del DPO.
L’art. 37 del regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation – Regolamento UE 2016/679) prevede l’obbligo di designazione di un DPO nei seguenti casi:
a) se il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) quando le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
c) se le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 e di dati relativi a condanne penali e a reati di cui all’articolo 10.
Nelle linee guida, i garanti eurpei approfondiscono i seguenti contesti:
1) Autorità o organismo pubblico
Il WP29 rimanda alle normative nazionali le definizioni di ente pubblico, tuttavia prendono in esame l’ambito di quegli enti che, pur non rientrando in tali definizioni, forniscono servizi assimilabili, come il trasporto pubblico, l’acqua e l’approvvigionamento energetico, le infrastrutture stradali, il servizio pubblico di radiodiffusione, l’edilizia residenziale pubblica o gli organismi che disciplinano le professioni regolamentate. In questi casi, i soggetti che trattano i dati lo fanno in modalità molto simili a quelle degli enti pubblici, sia dal punto di vista delle finalità che della scelta da parte degli interessati di potersi opporre ad eventuali trattamenti. Per questi motivi, il WP29 raccomanda come best practice la designazione di un DPO e lo svolgimento dei suoi compiti, estendendoli anche agli ambiti che non riguardano solo le logiche del pubblico servizio.
2) Attività principale del titolare
Il concetto di attività principale, richiamato alle lettere b) e c) del p.to 1 dell’art. 37 prevede che si tratti di trattamenti di dati come attività non accessorie; nell’attività principale rientrano però i trattamenti che sono considerati operazioni chiave per raggiungere gli obiettivi del titolare o del responsabile. Sono molto interessanti gli esempi citati dal WP29: per gli ospedali ad esempio l’assistenza sanitaria necessita del trattamento dei dati dei pazienti, per cui si rende necessaria la designazione del DPO. Ma è l’esempio successivo che fa ancora più riflettere: secondo il WP29 una società di sicurezza privata, pur svolgendo come attività primaria la sorveglianza di centri commerciali e spazi pubblici, non può prescindere dal trattamento di dati personali per perseguire le proprie finalità, per cui necessita di un DPO. Un’interpretazione molto estensiva della norma, che porta quindi a prevedere la designazione del DPO ogni volta che un trattamento di dati di utenti sia strumentale al raggiungimento delle finalità del titolare.
Sono invece definite come attività accessorie il supporto IT e le attività di Human Resources all’interno dell’azienda.
3) Larga scala
Le soglie quantitative che definiscono la larga scala non sono definite all’interno del GDPR: il WP29 prevede in futuro di definire dei valori di riferimento e delle casistiche tipo. Intanto, vengono definiti alcuni elementi che possono contribuire a comprendere se il trattamento è effettuato su larga scala:
• Il numero di persone interessate, sia come numero specifico o come percentuale della popolazione interessata;
• Il volume di dati e/o la gamma di differenti elementi di dati in elaborazione;
• La durata, o la permanenza, l’attività di elaborazione dei dati;
• L’estensione geografica delle attività correlate al trattamento.
Analizzando gli esempi riportati nelle linee guida cha specificano quando si possa parlare di larga scala o quando non sussista la fattispecie, è possibile individuare gli estremi (trattamenti effettuati da un singolo individuo, es. un medico, contro quelli effettuati nell’ambito di un’intera nazione), ma non è tuttora ben delineato il confine che individua la necessità di designare un DPO.
4) Monitoraggio regolare e sistematico
Anche in questo caso i concetti di monitoraggio regolare sistematico non sono espressamente definiti nel GDPR, ma si possono desumere da alcuni considerandi.
Il WP29 interpreta alcune casistiche come monitoraggio “normale” e “sistematico”, riportando anche alcuni esempi che vanno dall’ambito finanziario alla georeferenziazione, dai wearable devices alle campagne di fidelizzazione o di pubblicità comportamentale. I contesti sono diversi e difficilmente circoscrivibili a situazioni precise, in ogni caso si va ben oltre il semplice monitoraggio online dei soggetti e dei comportamenti.
5) Speciali categorie di dati e dati relativi a reati e condanne penali
In questo ambito, le linee guida chiariscono che le fattispecie non devono essere contemporanee, ma possono anche essere alternative, per cui la congiunzione “e” non richiede il soddisfacimento di entrambi i requisiti.
A meno che non sia evidente il caso in cui un soggetto privato non si debba dotare di un DPO, il WP29 raccomanda a titolari e responsabili di documentare, con precisione, l’analisi che è stata effettuata per determinare se la presenza del DPO sia per essi necessaria o meno, con l’obiettivo di dimostrare che i fattori rilevanti della scelta siano stati approfonditamente considerati.
Qualora non fosse necessario, ma per proprio scrupolo l’azienda ritenesse di designare un DPO su base volontaria, allora dovranno essere comunque rispettati tutti gli aspetti legati all’operato del DPO come se la sua designazione fosse obbligatoria (v. artt. 37-39 del GDPR). Naturalmente, qualora l’azienda decidesse di non designare il DPO, potrebbe comunque attivarsi internamente o con supporto esterno per svolgere attività correlate alla protezione dei dati: l’importante è che siano esplicitamente definiti i titoli dei soggetti coinvolti, la loro posizione e i loro compiti e responsabilità, chiarendo che i soggetti coinvolti non ricoprono il ruolo di Data Protection Officer.
E’ già passato oltre un quarto del tempo disponibile per adeguarsi ai nuovi obblighi del regolamenti europeo per la protezione dei dati (la scadenza per la messa a norma è il 25 maggio 2018), il percorso è ancora lungo ma i Garanti europei stanno iniziando a definire meglio le regole del gioco. I prossimi mesi saranno cruciali per arrivare preparati alle grandi innovazioni normative e organizzative imposte dal GDPR, gli enti pubblici e privati devono cominciare fin da ora ad affrontarlo, per gestirlo in maniera efficace.
_______________________________________________
SI.net affianca soggetti pubblici e privati con un servizio a tutto campo sulla protezione dei dati personali, che spazia dagli elementi tecnologici ai contesti normativi, con grande attenzione alle implicazioni organizzative che una tematica così rilevante comporta.
Per ricevere aggiornamenti sulle tematiche relative all’innovazione e all’ICT iscriviti alla nostra newsletter.
Segui SI.net anche su Twitter e su Facebook
Fonte dell’articolo: Comunicato pubblicato sul sito del Garante per la protezione dei dati personali
Salva
Salva
Salva
Salva
Salva
Salva