Lo scorso 13 dicembre 2016 il Gruppo dei Garanti UE (WP29) ha pubblicato tre documenti contenenti indicazioni e raccomandazioni su importanti novità del Regolamento (diritto alla portabilità dei dati, D.P.O., Autorità capofila), in vista della sua applicazione a decorrere dal 25 maggio 2018.
Per quanto attiene al Data Protection Officer, le linee guida evidenziano innanzitutto come la designazione di tale figura costituisca la base di un buon processo di adeguamento alla normativa e come egli possa al contempo agire da intermediario verso diversi interlocutori, tra cui le Autorità di controllo. Appare dunque evidente come il WP29, ancor prima di soffermarsi sulle ipotesi nelle quali la nomina del D.P.O. assume carattere obbligatorio ai sensi della nuova disciplina, ritenga la designazione di tale figura una buona prassi e incoraggi l’individuazione di un Data Protection Officer anche da parte delle aziende che sarebbero esenti da tale adempimento. Inoltre, nell’ottica del principio di accountability introdotto dal Regolamento, il WP29 raccomanda di documentare per iscritto le motivazioni che hanno portato alla scelta di nominare o meno un D.P.O., al fine di poter dimostrare (in vista di un’eventuale ispezione) che i fattori di maggiore importanza sono stati presi debitamente in considerazione.
Con riferimento alla prima ipotesi in base alla quale la nomina del D.P.O. assume carattere obbligatorio (trattamenti effettuati da un’”Autorità Pubblica” o un “Organismo pubblico” – art. 37 co. I l. a) del Regolamento), il WP29 precisa che tale obbligatorietà non sussiste rispetto alle aziende private che erogano servizi pubblici, quali quelle che operano nel settore dell’energia o dei trasporti. Ad ogni modo, visto che in tal caso i soggetti interessati verrebbero a trovarsi in una condizione simile a quella tipica dei trattamenti effettuati da Autorità pubbliche o Organismi pubblici, le linee guida specificano che la nomina del D.P.O. costituisce sicuramente una buona prassi.
Oltre all’ipotesi sopra indicata, l’art. 37 co. I. l. b) e c) del Regolamento impone di procedere alla nomina di un Data Protection Officer qualora le attività principali del Titolare/Responsabile del trattamento consistano in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, o che consistono nel trattamento su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e a reati.
Nel definire poi che cosa si intenda con “attività principali” del Titolare o del Responsabile del trattamento, il WP29 precisa che le stesse ricomprendono il trattamento dei dati personali tutte le volte in cui esso costituisca parte integrante delle attività ordinariamente svolte da tali soggetti. Da ciò consegue, ad esempio, che l’erogazione dei servizi tipicamente offerti da un ospedale risulta strettamente connessa con il trattamento dei dati riguardanti la salute dei pazienti.
Con riferimento poi alla definizione di “trattamenti su larga scala”, il Gruppo di Lavoro ex art. 29 non sembra prendere una posizione precisa, non fornendo una definizione di tipo quantitativo in merito. Esso impone, sostanzialmente, di valutare una serie di fattori, tra cui il numero di soggetti interessati, il volume di dati trattati, la durata delle operazioni di trattamento, l’estensione geografica di quest’ultime. Al riguardo, fornisce una serie di esempi che dovrebbero essere ricompresi in tale ipotesi, tra cui il trattamento di dati personali effettuato da banche o compagnie di assicurazione o quello che abbia ad oggetto i dati di viaggio dei soggetti che utilizzano mezzi di trasporto pubblici. Da ultimo, il “monitoraggio regolare e sistematico” viene definito come quella forma di monitoraggio effettuata periodicamente o in via continuativa ed al suo interno è ricompresa, ad esempio, la profilazione online.
Dalla lettura di tale documento emerge come il WP29 non abbia fornito delle indicazioni puntuali in ordine agli obblighi che gravano in capo alle aziende. Esso rappresenta, ad ogni modo, il primo tentativo di fornire delle indicazioni di ordine pratico rispetto ad una figura, quale quella del Data Protection Officer, di fondamentale importanza per le singole organizzazioni.
La non puntualità degli obblighi contenuti all’interno delle Linee Guida determinerà l’onere in capo ai Titolari/Responsabili del trattamento di documentare per iscritto le motivazioni che hanno portato all’adozione di una determinata decisione, o comunque le ragioni che hanno spinto gli stessi a porre in essere un adempimento ben preciso, nell’ottica del generale principio di accountability contenuto all’interno del Regolamento.
Concordo soprattutto con la sottolineatura che il WP29 “ritenga la designazione di tale figura una buona prassi e incoraggi l’individuazione di un DPO anche da parte delle aziende che sarebbero esenti da tale adempimento”. E’ quello che, come consulente, mi sentirei di suggerire in generale ai clienti. Se sono piccoli, designeranno un DPO esterno e lo condivideranno con altri.
ciao,
secondo me il punto focale per le situazione border line sarà la motivazione che viene data rispetto alla decisione assunta
mi spiego meglio (con esempi dal settore sanità di cui mi occupo).
in ambito sanitario avremo le seguenti situazioni:
1) soggetti direttamente obbligati dal GDPR ad avere il DPO (es ospedali in quanto ente pubblico)
2) soggetti che pacificamente non devono avere il DPO (es medico singolo, in quanto escluso da un considerando ed altresì da parere del WP29)
3) soggetti per i quasi non è chiaro se lo devono avere oppure no (es poliambulatorio che eroga prestazioni ad ampio numero di pazienti – oppure rete di laboratori di analisi a livello regionale o extraregionale)
ovviamente per il caso 3) si pone il dubbio circa la nomina o meno
in questo caso (secondo me)
– se nomino il DPO non avrò problemi (visto il favor legislativo nei confronti di tale nomina)
– se decido di non nominarlo dovrò SPIEGARE e MOTIVARE in base a quale ragionamento non ritengo di procedere alla nomina (cioè dovrò predisporre un razionale sulle motivazioni a sostegno della decisioni di non procedere -spiegando ad es. per quali motivi ritengo di non rientrare nella nozione di “trattamento su larga scala”)
non solo poi tale motivazione deve essere espressa ed articolata, ma la stessa (e la sua robustezza) rileveranno anche nella misurazione della eventuale sanzione.
la lettura combinata infatti del criteri dell’art. 83 sulle sanzione e l’applicabilità della legge 689/81 (disciplina sulle sanzioni amministrative) consente di ritenere che l’autorità Garante potrà aumentare o diminuire il quantum della sanzione in ragione della maggiore o minore colpevolezza (che emerge dalla prova del ragionamento che ha spinto il titolare a non nominare il DPO)