La nuova figura del Data Protection Officer (DPO) nel GDPR: quando risulta obbligatorio
Quando è obbligatorio nominare il Data Protection Officer (DPO)
Il Regolamento (UE) 2016:679 del 27 aprile 2016 ha introdotto una nuova figura sconosciuta nel nostro ordinamento giuridico, il Data Protection Officer (DPO). La designazione del DPO, ai sensi dell’art. 37 (primo paragrafo) è obbligatoria quando sussiste una di queste tre condizioni: a) se il trattamento di dati personali è effettuato da un’autorità pubblica o da un organismo pubblico; b) quando le attività principali dell’organizzazione consistono in trattamenti, che richiedono il “monitoraggio regolare e sistematico” degli interessati “su larga scala”; c) quando le attività principali dell’organizzazione consistono nel trattamento “su larga scala” di dati “sensibili” (“categorie particolari di dati”) o “giudiziari” (“dati personali relativi a condanne penali e reati”).
Indicazioni sui generici e indeterminati termini e criteri utilizzati nel GDPR (come ad esempio quello di “larga scala”) sono state fornite dal Gruppo di Lavoro articolo 29 in materia di protezione dei dati personali (di seguito, WP29), nelle nelle «Linee Guida sui responsabili della protezione dei dati (RPD)» che non consentono però di fugare tutti i dubbi interpretativi.
Vediamo nel dettaglio i tre punti.
a) Trattamento svolto da un’Autorità pubblica o organismo pubblico
Il Regolamento non definisce cosa costituisce “autorità pubblica” o “organismo pubblico”. Ai sensi dell’art.3, co.1, lett.d) del D.Lgs 50:2016, per “organismo di diritto pubblico” si intende qualsiasi organismo, anche in forma societaria, che rispetti i seguenti requisiti: - istituito per soddisfare specificatamente esigenze di interesse generale, aventi carattere non industriale o commerciale; - dotato di personalità giuridica; - la cui attività sia finanziata in modo maggioritario dallo Stato, dagli enti pubblici territoriali o da altri organismi di diritto pubblico oppure la cui gestione sia soggetta al controllo di questi ultimi oppure il cui organo d’amministrazione, di direzione o di vigilanza sia costituito da membri dei quali più della metà è designata dallo Stato, dagli enti pubblici territoriali o da altri organismi di diritto pubblico.
Pertanto, laddove l’attività sia volta a soddisfare bisogni pubblici, anche una società per azioni (quindi dotata di personalità giuridica) interamente controllata da un ente pubblico territoriale, dovrebbe ricondursi nel novero degli organismi di diritto pubblico e nominare un DPO. L’organismo europeo, tuttavia, pur rinviando al diritto dei singoli Stati membri la determinazione della nozione di “organismo pubblico”, ritiene che la nomina del DPO non sia obbligatoria nei casi in cui una funzione pubblica sia svolta da soggetti privati, come i concessionari di pubblici servizi, ma solo altamente raccomandata in termini di buona pratica.
b) Attività principali che consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico di interessati su larga scala
Nel settore privato, le “attività principali” di un’impresa riguardano le sue “attività primarie” e non comprendono i casi in cui il “trattamento dei dati personali” è solo un’“attività accessoria”. Con “attività principali” si possono, quindi, intendere le operazioni essenziali necessarie al raggiungimento degli obiettivi perseguiti dall’azienda. Tuttavia vi sono alcune attività che sono legate in modo inscindibile al trattamento dei dati personali (come ad esempio la raccolta delle cartelle sanitarie dei pazienti di un ospedale o l’attività di monitoraggio di una società di sicurezza tramite videosorveglianza). In questi casi, l’azienda è obbligata a nominare un DPO.
Il concetto di “monitoraggio regolare e sistematico” degli interessati non è definito all’interno del GDPR, tuttavia quest’attività comprende tra le altre tutte le forme di tracciamento e profilazione su Internet. Di seguito alcuni esempi di attività che possono configurare un monitoraggio regolare e sistematico di interessati:
- la prestazione di servizi di telecomunicazioni;
- il reindirizzamento di messaggi di posta elettronica (email retargeting);
- attività di marketing basate sull’analisi dei dati raccolti;
- profilazione e scoring per finalità di valutazione del rischio (per esempio, a fini di valutazione del rischio creditizio, definizione dei premi assicurativi, prevenzione delle frodi, accertamento di forme di riciclaggio);
- tracciamento dell’ubicazione, ad esempio da parte di app su dispositivi mobili
- programmi di fidelizzazione (es. carte fedeltà);
- pubblicità comportamentale;
- monitoraggio di dati relativi allo stato di benessere psicofisico, alla forma fisica e alla salute attraverso dispositivi indossabili;
- utilizzo di telecamere a circuito chiuso;
- dispositivi connessi quali dispositivi per la domotica, ecc.
Per quanto concerne la definizione di “larga scala”, al momento non esistendo standard utili a specificare il concetto e le relative soglie applicabili, il WP29 raccomanda di tenere conto dei seguenti fattori, al fine di stabilire se un trattamento sia effettuato su larga scala:
- il numero di soggetti interessati, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
- il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
- la durata, ovvero la persistenza, dell’attività di trattamento;
- la portata geografica dell’attività di trattamento.
Esempi di trattamenti su larca scala possono essere il trattamento di dati relativi a pazienti svolto da un ospedale nell’ambito delle sue ordinarie attività, trattamento di dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile specializzato nella prestazione di servizi, trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività, trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale.
Pertanto, le imprese, per verificare se sono soggette all’obbligo di nominare un Data Protection Officer ai sensi dell’art.37, par.1, lett.b), dovranno valutare i punti di cui sopra.
c) Trattamento “su larga scala” di categorie particolari di dati o di dati relativi a condanne penali e a reati
La nomina del Data Protection Officer è obbligatoria anche nel caso in cui le attività principali di un organizzazione consistono nel trattamento, su larga scala, di “categorie particolari di dati” ai sensi dell’art.9 del GDPR (e cioè dati personali idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona) o di “dati relativi a condanne penali e a reati” ai sensi dell’art.10 del GDPR, considerati dall’ordinamento meritevoli di maggior tutela.
