La designazione del DPO
La designazione del DPO (Data Protecion Officer): Il legislatore europeo ha meglio definito la disciplina del DPO (in Italia RPD, responsabile della protezione dati), agli artt. 37 e ss. del Reg. UE 679/2016[1], sia per facilitare la responsabilizzazione del “titolare e del responsabile del trattamento dei dati”, sia per il ruolo chiave che riveste questa figura, infatti “il tratto prevalente pare quello di una funzione di garanzia della conformità della circolazione e della protezione dei dati al Regolamento”[2].
Il soggetto che dovrà rivestire la figura di DPO è opportuno sia un esperto in materia di privacy, capace di supportare e consigliare il titolare e il responsabile in tutte le fattispecie, anche quelle più complesse o addirittura critiche, che caratterizzano la disciplina del trattamento dei dati personali. Per l’appunto, è lo stesso Reg. 679/2016 che al Considerando 97 inquadra il DPO quale soggetto in possesso “di una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati nel controllo del rispetto a livello interno del presente regolamento”.
Facendo una precisazione, in merito ai termini utilizzati dal legislatore italiano, l’espressione responsabile della protezione dei dati poco si addice alla figura del DPO poiché, ictu oculi, rischierebbe di essere confusa con il “responsabile del trattamento” la cui natura è ben diversa.
Andando per ordine normativo, l’art. 37 del Reg. UE 679/2016 principia la disciplina relativa al DPO, trattando l’istituto della designazione del Data Protection Officer.
Segnatamente, l’art. 37 al paragrafo 1 indica i soli parametri per la designazione obbligatoria del DPO, in assenza dei quali se ne deduce che la nomina sia solo facoltativa.
La norma in esame prevede un obbligo di designazione del DPO, in capo ai titolari e responsabili del trattamento, ogniqualvolta:
a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni;
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento su larga scala, di categorie particolari di dati di cui all’art. 9 o di dati relativi a condanne penali e a reati di cui all’art. 10.
Se in via di principio il legislatore europeo ha tentato di dissipare dubbi in merito all’obbligo in capo al titolare o responsabile del trattamento di “quando” è obbligatorio designare un DPO, è di tutta evidenza come le espressioni riportate dall’articolo che si commenta non rendano agevole l’interpretazione della norma, oscurandone ancor di più il significato.
Nel dettaglio alla lettera a), in riferimento al settore pubblico, si usano le espressioni “autorità pubblica” o “organismo pubblico” la cui interpretazione, così come afferma il “Gruppo di lavoro articolo 29 per la protezione dei dati” (da adesso WP29), va rimessa alla normativa nazionale e dunque ciò che lo Stato membro definisce appunto “autorità pubblica” o “organismo pubblico”.
Se per il settore pubblicistico l’interpretazione è palesemente tautologica, più complicata è semmai la posizione dei privati, infatti le espressioni indicate alle lettere b) e c), quali “attività principale”, “larga scala”, “monitoraggio regolare e sistematico” non si prestano ad un’interpretazione univoca e facilmente accessibile. Per quanto riguarda l’espressione “attività principale”, la corretta chiave di lettura viene fornita dal considerando n. 97 del Reg. UE 679/2016 ove afferma che “nel settore privato le attività principali del titolare del trattamento riguardano le sue attività primarie ed esulano dal trattamento dei dati personali come attività accessoria”. Dunque per attività principali “si possono intendere le operazioni essenziali che sono necessarie al raggiungimento degli obiettivi perseguiti dal titolare o dal responsabile del trattamento”[3].
Altro aspetto riguarda il concetto di “larga scala”, il cui significato resta piuttosto ondivago e impreciso. Facendo riferimento al Considerando 91 del Reg. UE 679/2016 si desumono trattamenti su “larga scala” quelli “che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato[…]”. Tuttavia non viene fornita una percentuale o un dato quantitativo tale da superare le difficoltà interpretative. Anche laddove si chiarisce che il trattamento non può essere considerato su larga scala qualora riguardi “pazienti o clienti di un singolo medico, operatore sanitario o avvocato”, e che per questi “non dovrebbe essere obbligatorio procedere a una valutazione d’impatto sulla protezione dei dati”, pare comunque non sufficiente ad individuarne in via precisa l’ambito di applicazione.
A tal proposito il WP29, nelle linee guida sulla figura del DPO, ha tentato di fare chiarezza sull’espressione “larga scala”. Segnatamente, si può dedurre un trattamento su larga scala in relazione al numero degli interessati (in termini assoluti o in percentuale rispetto alla popolazione di riferimento), al volume dei dati e/o le diverse tipologie di dati oggetto di trattamento, alla durata, ovvero la persistenza, dell’attività di trattamento o in base all’estensione geografica dell’attività di trattamento[4].
Come già anticipato, anche l’espressione di “monitoraggio regolare e sistematico” non si presta a facili interpretazioni.
Nonostante il Considerando 24 del Regolamento menzioni la suddetta espressione, tra l’altro facendo riferimento solo al termine di “monitoraggio” e in “riferimento al tracciamento e alla profilazione su internet”[5], non si rinviene una esauriente definizione del termine se non nelle linee guida del WP29. Nello specifico, il significato di monitoraggio non è vincolato e limitato alla sola sfera virtuale e di internet, piuttosto si ritiene “che il tracciamento online va considerato solo uno dei possibili esempi di monitoraggio del comportamento degli interessati”[6].
L’art. 37 del Reg. 679/2016 trattando il monitoraggio utilizza l’espressione “regolare” per delineare un utilizzo dei dati effettuato in modo costante[7] e cadenzato.
Mentre l’espressione “sistematico”, infine, fa riferimento ad un trattamento organizzato e metodico o svolto all’interno di un progetto complesso di dati[8].
L’art. 37 paragrafo 1 fa riferimento al trattamento di particolari categorie di dati e dati giudiziari.
Non vi sono in questo caso difficoltà interpretative, basti considerare che per “particolari categorie di dati” (art. 9 del Reg. UE 679/2016) si intende la vecchia categoria dei dati sensibili.
L’impianto normativo che disciplina la materia del trattamento dei dati personali, soprattutto nella norma in esame, manca di chiarezza. Ne è prova l’attività interpretativa svolta dal Gruppo di lavoro nonostante la presenza dei 172 Considerando, il cui ruolo tra l’altro è proprio chiarificatore dell’intero regolamento.
Ad ogni modo, al fine di individuare il confine tra “nomina obbligatoria” e “nomina facoltativa” del DPO, sarà opportuno combinare gli elementi indicati nell’impianto normativo, supportati dalle linee guida del WP29, ad un’attenta analisi del caso di specie.
[1] Il regolamento europeo è entrato in vigore il 25 maggio 2018 e in Italia la norma che ne ha attuato il contenuto, modificando notevolmente il codice della privacy, è il D.lgs. 10 agosto 2018, n. 101 entrata in vigore il 19 settembre del 2018;
[2]A. Ciccia Messina, N. Bernardi – Privacy e Regolamento Europeo – Wolters Kluwer – Ipsoa- II Ed. 2018, pag. 96;
[3] E. Bassoli – La Nuova Privacy GDPR dopo il D.lgs. 10 agosto 2018, n.101– DIKE giuridica editrice 2018, pag. 86;
[4]Sempre il GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI – pubblicato sul sito del Garante della Privacy, per rendere maggiormente comprensibile il concetto di “larga scala” riporta i seguenti esempi:
- trattamento di dati relativi a pazienti svolto da un ospedale nell’ambito delle ordinarie attività;
- trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio);
- trattamento di dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile del trattamento specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food;
- trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività;
- trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale;
- trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici.
[5]M. Soffientini – PRIVACY Protezione e Trattamento dei dati – Wolters Kluwer – Ipsoa 2018, pag. 130;
[6]GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI – pubblicato sul sito del Garante della Privacy, pag. 11;
[7] Sempre il GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI – pubblicato sul sito del Garante della Privacy riporta i seguenti significati: a) che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito; b) ricorrente o ripetuto a intervalli costanti; c) che avviene in modo costante o a intervalli periodici.
[8]Sempre secondo il WP29 il termine sistematico ha almeno uno dei seguenti significati: che avviene per sistema; predeterminato, organizzato o metodico; che ha luogo nell’ambito di un progetto complessivo di raccolta di dati; svolto nell’ambito di una strategia.