DPO

Chi è e quando è prevista la nomina del DPO

DPO

Inquadramento della figura

Il Regolamento Europeo sulla protezione dei dati personali (GDPR) ha introdotto, tra le principali misure di “responsabilizzazione” del Titolare e/o del Responsabile del trattamento, l’obbligo per quest’ultimo, nei casi previsti dall’articolo 37, di individuare un Responsabile della Protezione dei dati (nella variante anglofona, Data Protection Officer, DPO), quale figura che assolva alle funzioni di vigilanza e consulenza in materia di protezione dei dati personali.

Il DPO in realtà è l’evoluzione del “privacy officer”, figura prevista dalla Direttiva Europea 95/46 all’art. 18. È un consulente esperto che va ad affiancare il Titolare/ Responsabile nella gestione delle problematiche del trattamento dei dati personali. In tal modo, si garantisce che un soggetto qualificato si occupi in maniera esclusiva della protezione dei dati personali.

Sentenza n. 287/2018 del 13 settembre 2018

Il TAR per il Friuli-Venezia Giulia ha precisato che il profilo del DPO è eminentemente giuridico, ed attiene alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali. Con, ciò ha annullato il bando di un’azienda sanitaria per il conferimento di un incarico di DPO nella parte in cui prevedeva, come requisito di ammissione, il possesso di certificazione di Lead Auditor (o di Auditor) ISO 27001. Il TAR non ha, ovviamente, inteso limitarne la nomina ai soli giuristi, ma ha tenuto a precisare che, a prescindere dai titoli, il DPO non possa prescindere da dimostrare di possedere competenze giuridiche approfondite.

La certificazione indicata nel bando, invece, “non coglie la specifica funzione di garanzia insita nell’incarico conferito, il cui precipuo oggetto non è costituito dalla predisposizione dei meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma attiene semmai alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali”.

L’Autorità Garante ha ribadito, nelle FAQ, come non siano richieste al DPO specifiche attestazioni formali o l’iscrizione in appositi albi. È necessaria un’approfondita conoscenza della normativa e delle prassi in materia di privacy che caratterizzano lo specifico settore di riferimento.

Quando è prevista/per chi è obbligatoria la nomina del DPO

Ai sensi dell’articolo 37 del GDPR, sono obbligatoriamente tenuti a nominare un DPO:

1. Le autorità o gli organismi pubblici (eccetto le autorità giudiziarie nell’esercizio delle loro funzioni).
Il GDPR non fornisce la definizione di “autorità pubblica” o “organismo pubblico”. Le Linee guida adottate in materia dal Gruppo di Lavoro Art. 29 (WP29) ne rimettono l’individuazione al diritto nazionale applicabile. Le stesse Linee guida raccomandano la nomina del DPO anche per gli organismi privati incaricati dello svolgimento di pubbliche funzioni o che comunque esercitano pubblici poteri (es. forniture elettriche, trasporti pubblici).

2. I soggetti le cui principali attività consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala.

Attività principale

Il WP29 precisa che occorre considerare il legame tra il proprio “core business” e il trattamento dei dati personali. Per esempio, l’attività principale di un ospedale è la salute dei pazienti e non il trattamento dei dati. Nonostante questo, dato che le due attività sono strettamente collegate, questo dovrà nominare un DPO. Stesso discorso si può fare per società di vigilanza, assicurazioni, banche o call center. Infatti, tutte le loro attività sono indissolubilmente legate all’attività di trattamento dei dati personali.

Non rientrano nell’obbligo di nomina le realtà in cui il trattamento dei dati è solo di supporto al “core business”.

Monitoraggio regolare e sistematico

Include tutti i vari strumenti di tracciatura elettronica e profilazione online e qualsiasi forma di tracciatura in un ambiente offline.

Per il WP29, un monitoraggio è regolare se:

  • Avviene di continuo
  • Avviene in un arco temporale ben definito
  • Ripetuto ad intervalli constranti.

 

Il monitoraggio è sistematico:

  • se si verifica in base ad uno schema;
  • quando è organizzato, metodico, prestabilito;
  • se rientra in un piano generale od una strategia (es: servizi di telecomunicazione, marketing, geolocalizzazione, fidelizzazione, …).

 

Trattamento è su larga scala

Il WP29 suggerisce di tenere in considerazione alcuni elementi:

  • il numero degli interessati coinvolti (in termini assoluti o in percentuale rispetto alla popolazione di riferimento)
  • la quantità dei dati trattati
  • le diverse tipologie di dati trattati
  • la durata del trattamento
  • la portata geografica del trattamento.

 

Sono trattamenti su larga scala i trattamenti dei dati :

  • di viaggio dei soggetti che usano un trasporto pubblico (es. il monitoraggio tramite carte di viaggio);
  • dei pazienti da parte di un ospedale
  • di geolocalizzazione della clientela per fini statistici
  • dei clienti di una banca o un’assicurazione
  • personali per la pubblicità comportamentale (tramite cookie di profilazione)
  • dei fornitori di servizi telefonici o internet
  • i trattamenti operati tramite fidelity card (a meno che non si tratti di un piccolo negozio).

 

Non sono trattamenti su larga scala quelli del singolo medico o del singolo avvocato.

3. I soggetti le cui principali attività consistono in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati.
Tale disposizione riguarda i trattamenti di dati ai sensi, rispettivamente, dell’articolo 9 e dell’articolo 10 del GDPR. Per esempio dati personali che rivelino:

  • l’origine razziale o etnica;
  • le opinioni politiche;
  • le convinzioni religiose o filosofiche, o l’appartenenza sindacale;
  • dati genetici o biometrici intesi a identificare in modo univoco una persona fisica;
  • dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

 

Come indica anche il WP 29, non vi sono motivazioni sistematiche che impongano l’applicazione simultanea dei due criteri, pertanto, il testo deve essere interpretato come se recasse la congiunzione “o”.

Soggetti tenuti obbligatoriamente a nominare un DPO

L’Autorità Garante per la protezione dei dati personali è successivamente intervenuta, attraverso delle specifiche FAQ, individuando a titolo esemplificativo e non esaustivo alcuni soggetti tenuti obbligatoriamente a nominare un DPO. In base alle casistiche indicate dal GDPR: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società: finanziarie, di informazioni commerciali, di revisione contabile, di recupero crediti, di servizi informatici, di servizi televisivi a pagamento; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; call center.

Come si può notare dalle casistiche riportate, è raro che una azienda di piccole o medie dimensioni abbia l’obbligo di nominare un DPO, ma è anche vero che oggi, ad esempio, le aziende di piccole dimensioni che comunque trattano grandi quantità di dati, grazie ai propri strumenti informatici.

In tal senso, l’autorità di controllo raccomanda ai Titolari e Responsabili del trattamento di attuare, documentando una valutazione in merito all’obbligo o meno di nominare il DPO .