Linee Guida dei Garanti Europei sul nuovo Regolamento Privacy: la figura del DPO

Linee Guida dei Garanti Europei sul nuovo Regolamento Privacy: la figura del DPO

Il Working Party 29 – Gruppo dei Garanti Privacy dei Paesi UE – ha approvato in data 13 dicembre 2016 tre documenti con indicazioni su importanti novità relative al nuovo Regolamento Privacy che sarà direttamente applicabile negli Stati membri a decorrere dal 25 Maggio 2018.

Tra i temi affrontati dalle linee guida vi è la figura del DPO (Data Protection Officer o Responsabile della Protezione dei Dati), obbligatoria in alcune specifiche ipotesi.

Per quanto concerne il DPO, è indubbio che sia una figura oggetto di discussione da parte degli addetti ai lavori in quanto esistono alcuni dubbi centrali circa la sua effettiva natura e competenze.

Obbligo di nomina del DPO

L’art. 37 del Regolamento Privacy prevede che il titolare del trattamento debba obbligatoriamente designare un responsabile della protezione dei dati (il DPO appunto) nelle seguenti ipotesi:

  1. quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
  2. quando le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  3. le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati di cui all’articolo 9 (dati sensibili) o di dati relativi a condanne penali e a reati di cui all’articolo 10.

Il DPO è designato in funzione delle qualità professionali, con particolare riguardo alla conoscenza specialistica della normativa e alle pratiche in materia di protezione dei dati. Tale figura, di livello manageriale, può essere un dipendente del titolare del trattamento oppure un libero professionista esterno che adempie ai suoi compiti in base a un contratto di servizi.

I compiti del DPO

L’art. 39 del Regolamento Privacy dettaglia i compiti del DPO:

  • a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal Regolamento Privacy nonché da altre disposizioni dell’Unione Europea o degli Stati membri relative alla protezione dei dati;
  • b) sorvegliare l’osservanza del Regolamento Privacy, di altre disposizioni dell’Unione Europea o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  • c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35 del Regolamento Privacy;
  • d) cooperare con l’autorità di controllo;
  • e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36 del Regolamento Privacy ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Il DPO deve essere obbligatoriamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali e gli interessati possono contattarlo per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal Regolamento Privacy.

Il DPO deve godere di ampia autonomia e non può riceve alcuna istruzione per quanto riguarda l’esecuzione dei propri compiti. Il Regolamento Privacy, inoltre, specifica all’art. 38 che il DPO non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti, ma riferisce direttamente ai massimi superiori gerarchici del titolare del trattamento o del responsabile del trattamento.

Dubbi applicativi

La criticità consiste nel fatto che il Regolamento Privacy non fornisce alcuna precisa indicazione circa la definizione di trattamento su “larga scala”, ipotesi cioè in cui la nomina del DPO è obbligatoria.

Le Linee Guida precisano che non è possibile dare un numero preciso per quanto riguarda la quantità di dati elaborati o il numero di persone interessate, non escludendo, però, la possibilità che in itinere si possa sviluppare una prassi consolidata, al fine di specificare in termini oggettivi e quantitativi ciò che costituisce il trattamento su larga scala di alcuni tipi di attività.

Le Linee Guida, comunque, raccomandano alcuni elementi da prendere in considerazione per determinare se il trattamento è effettuato o meno su larga scala:

  • il numero di persone interessate – sia come un numero specifico o come percentuale della popolazione in questione;
  • il volume di dati e/o la gamma di differenti elementi di dati in elaborazione;
  • la durata o la permanenza dell’attività di elaborazione dei dati;
  • l’estensione geografica dell’attività di trasformazione,

individuando alcuni esempi di trattamenti su larga scala come:

  • l’elaborazione dei dati del paziente nel corso normale delle attività di un ospedale;
  • il trattamento dei dati di viaggio di persone che utilizzano il sistema di trasporto pubblico di una città (ad esempio, il monitoraggio tramite schede di viaggio);
  • l’elaborazione dei dati in tempo reale di geo-localizzazione di clienti di una catena di fast food internazionale a fini statistici da parte di un responsabile specializzato nella fornitura di questi servizi;
  • il trattamento dei dati dei clienti nel normale corso di attività da una compagnia di assicurazioni o di una banca;
  • il trattamento dei dati personali (profilazione) per la pubblicità di un motore di ricerca;
  • il trattamento dei dati (contenuti, il traffico, la posizione) da parte dei fornitori di servizi telefonici o Internet;

fornendo anche esempi che non costituiscono l’elaborazione su larga scala:

  • il trattamento dei dati dei pazienti da parte di un singolo medico;
  • il trattamento di dati personali relativi a condanne penali e reati da parte di un singolo avvocato.

Anche la nozione di monitoraggio regolare e sistematico delle persone interessate non è definita nel Regolamento Privacy, ma comprende in modo chiaro tutte le forme di monitoraggio e profilazione su internet, anche ai fini della pubblicità comportamentale (si veda il considerando 24).

Compliance

In conclusione, come è normale che sia a seguito della promulgazione di una nuova normativa nel periodo di adattamento, le imprese e i professionisti del settore stanno attendendo di conoscere con maggiore precisione le ipotesi concrete di obbligo di nomina del DPO. D’altra parte, come è facile intuire, tale figura sarà centrale nel sistema privacy del futuro prossimo e avrà un impatto di notevoli dimensioni in quanto nuovo elemento di compliance d’impresa.