Il responsabile della protezione dei dati personali (anche conosciuto come data protection officer – DPO) è una figura prevista dall’art. 37 del Regolamento (UE) 2016/679. Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento medesimo. Coopera con l’Autorità (e proprio per questo, il suo nominativo va comunicato al Garante) e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del Regolamento).
Secondo quanto prevede l’art. 37 par. 1 lett. b. e c. del Regolamento n. 679/2016 (GDPR) la nomina è da ritenersi obbligatoria quando:
- il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico,
Per gli operatori privati, l’obbligatorietà nasce se le attività principali di trattamento dei dati:
- richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- consistono in trattamento su larga scala di particolari dati personali (i dati sensibili volendo utilizzare la “vecchia” terminologia).
Proprio con riferimento ai casi in cui è prevista l’obbligatorietà della designazione di tale nuova figura, il Garante, nelle sue nuove faq sul DPO per il settore privato, fornisce utili precisazioni, individuando dei casi esemplificativi in cui la nomina del DPO deve considerarsi doverosa ricorrendo i suddetti presupposti.
A titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; nonché le società operanti nel settore delle “utilities”, come quello delle telecomunicazioni.
Ma chi sarà davvero obbligato ad assumerne un DPO? E seguendo quali modalità?
Riguardo alle PA non ci sono dubbi, mentre resta un margine di discrezione nel settore privato.
A questo proposito il Gruppo di Lavoro Articolo 29 (istituito, appunto, dall’Art. 29 della Direttiva Europea n. 45/96), fornisce alcuni criteri utili ad individuare i casi di obbligatorietà della nomina, innanzitutto precisando, tra gli altri, i concetti di “ larga scala” e di “monitoraggio regolare e sistematico degli interessati” che non trovano precisa definizione all’interno del RGDP.
il WP29 raccomanda di tenere conto dei seguenti fattori al fine di stabilire se un trattamento sia effettuato su larga scala:
- il volume dei dati
- in numero di tipologie di dati
- la durata del trattamento
- la portata geografica.
Ad esempio, devono considerarsi trattamenti su larga scala, quelli aventi ad oggetto: dati dei propri pazienti da parte di un ospedale, gli spostamenti degli utenti del servizio di trasporto, la geolocalizzazione raccolta per finalità statistiche (si pensi a certe “app” o a certe tessere socio rilasciate da vari store) la clientela di una compagnia assicurativa o di una banca, il trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici.
Per quanto riguarda il concetto di monitoraggio regolare e sistematico degli interessati; il considerando 24 del Regolamento EU menziona il “monitoraggio del comportamento di detti interessati” ricomprendendovi senza dubbio tutte le forme di tracciamento e profilazione su internet anche per finalità di pubblicità comportamentale.
Secondo il WP 29 la nozione di monitoraggio non trova applicazione solo con riguardo all’ambiente online, il tracciamento online, infatti, va considerato solo uno dei possibili esempi di monitoraggio del comportamento degli interessati.
Alcune esemplificazioni di attività che possono configurare un monitoraggio regolare e sistematico di interessati sono: il curare il funzionamento di una rete di telecomunicazioni; la prestazione di servizi di telecomunicazioni; il reindirizzamento di messaggi di posta elettronica (si pensi quante volte si usano i c.d. “filtri” di posta per “inoltrare” i messaggi in arrivo su altri indirizzi), monitoraggio di dati relativi allo stato di benessere psicofisico, alla forma fisica e alla salute attraverso dispositivi indossabili o software di training collegati a credenziali (palestre, impianti sportivi, ecc.), l’ utilizzo di telecamere a circuito chiuso (in ambiti aperti ad un afflusso rilevante di persone), dispositivi connessi, quali contatori intelligenti, automobili intelligenti, dispositivi per la domotica (pass, badge, geolocalizzatori, centraline antifurto connesse a servizi esterni, ecc.).
Nonostante l’indubbia utilità dei chiarimenti forniti dalle linee Guida, queste non sono sufficienti a dissipare tutti i quesiti interpretativi, sulla questione obbligatorietà o meno di designare un DPO.
Di sicuro la nomina di un DPO, anche laddove non obbligatoria, è largamente caldeggiata dal legislatore europeo e dal Gruppo di lavoro. In questi casi, infatti, potrà essere una misura di sicurezza che il titolare del trattamento potrà scegliere di applicare, in quanto figura dotata di particolare formazione ed esperienza in materia, che dunque coadiuva in maniera specifica il titolare del trattamento nel rispetto della normativa di riferimento e del regolamento generale sulla protezione dei dati.
Il Gruppo 29 evidenzia come sia probabile che, col tempo, verranno via via individuati alcuni standard definitivi atti a specificare in termini più oggettivi i casi di nomina obbligatoria del responsabile della protezione dati con riguardo ai privati.
È evidente che, finché tali standard non verranno individuati, nel dubbio meglio nominare un DPO!