Data Protection Officer: quando è obbligatorio averne uno?
L’obbligatorietà di nomina del Data Protection Officer, più comunemente chiamato in Italia Responsabile per la Protezione dei Dati personali, è ampiamente descritta dal Regolamento Europeo sulla protezione dei dati personali n.2016/679 in vigore dal 25 Maggio 2018, noto come GDPR.
E’ importante sottolineare come tale obbligo sia stato previsto sia per gli enti pubblici che per le aziende private, con casistiche differenti. Infatti, ai sensi dell’art. 37, par. 1, del Regolamento (UE) 2016/679, si specifica che il Titolare del trattamento ed il Responsabile del trattamento debbano obbligatoriamente individuare un responsabile della protezione dei dati (DPO) ogniqualvolta che:
- il trattamento sia effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
- le attività principali del titolare del trattamento o del responsabile del trattamento consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedano il monitoraggio regolare e sistematico degli interessati su larga scala;
- le attività principali del titolare del trattamento o del responsabile del trattamento consistano nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.
Cerchiamo di definire meglio alcuni concetti (riportati all’interno di queste tre casistiche) ritenuti fondamentali per far scattare l’obbligo di nomina del DPO, precisando che:
- nella definizione “attività principale” sono ricomprese tutte le operazioni necessarie al titolare del trattamento e/o al responsabile del trattamento per raggiungere gli scopi della propria attività e che dalla stessa esulano, invece, le “attività accessorie” alla principale;
- l’espressione “su larga scala” (utilizzata più volte) è da subito ritenuta del tutto generica e senza alcun riferimento numerico o comunque oggettivo. Tale concetto infatti ha creato numerosi dubbi, dissidi ed interpretazioni nel corso degli anni. Per poter meglio identificarla e definire se un trattamento sia effettuato su larga scala o meno, si è convenuti alla scelta di tener conto dei seguenti quattro fattori:
1) l’estensione geografica dell’attività di trattamento;
2) il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
3) il numero di soggetti interessati dal trattamento, espressi in percentuale rispetto alla popolazione totale di riferimento;
4) la durata, ovvero la persistenza, dell’attività di trattamento. - Infine un altro concetto abbastanza contorto è quello del “monitoraggio regolare e sistematico”. Rientrano in tale espressione senza dubbio tutte le forme di tracciamento e profilazione su Internet, anche se non si può delimitare tale espressione al solo mondo web. Gli aggettivi “regolare” e “sistematico” acquisiscono un ruolo fondamentale all’interno di tale concetto e, in base al significato attribuitogli, possono cambiargli il senso. Infatti, si ritiene che l’aggettivo “regolare” possa avere almeno uno dei seguenti significati: ricorrente o ripetuto a intervalli costanti; che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito; che avviene in modo costante o a intervalli periodici. Mentre l’aggettivo “sistematico” possa avere almeno uno dei seguenti significati: svolto nell’ambito di una strategia; che avviene per sistema; predeterminato, organizzato o metodico; che ha luogo nell’ambito di un progetto complessivo di raccolta di dati.
A titolo esemplificativo ma non del tutto esaustivo, di seguito vengono elencate alcune imprese ed attività tenute obbligatoriamente alla nomina di un DPO:
società di revisione contabile; società di recupero crediti; imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; imprese assicurative; istituti di credito; sistemi di informazione creditizia; società finanziarie; istituti di vigilanza; società di informazioni commerciali; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.
In tutti gli altri casi, la designazione del DPO non è ritenuta obbligatoria. Ad esempio:
i liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti.
Si tenga presente che la nomina obbligatoria di un DPO, all’interno di aziende pubbliche o private, può essere prevista anche in casi diversi rispetto a quelli elencati, ma in base alla legge nazionale o al diritto comunitario.
In ogni caso, la designazione volontaria di tale figura rimane una pratica fortemente raccomandata, perché può risultare molto utile e in base al principio di accounability del GDPR, può essere vista come una misura di responsabilizzazione da parte del titolare e del responsabile del trattamento.