Il Responsabile della Protezione dei Dati – RPD. Commento all’art. 37 Reg. UE 2016/679

Il Responsabile della Protezione dei Dati – RPD. Commento all’art. 37 Reg. UE 2016/679

di Claudio Fuligni – consulente ICT e cybercrimes, consulente privacy e DPO

Riferimenti normativi

La figura del Responsabile della Protezione dei Dati-RPD, o, secondo la versione inglese, il Data Protection Officer – DPO è regolamentata agli artt. 37/39 Reg. UE 2016/679 General Data Protection Regulation – GDPR e nelle Linee guida sui responsabili della protezione dei dati del Gruppo di lavoro Articolo 29 per la protezione dei dati, adottate il 13 dicembre 2016, nella versione emendata e adottata in data 5 aprile 2017.

Art. 37 GDPR, Designazione del responsabile della protezione dei dati

L’art. 37 GDPR, rubricato “Designazione del responsabile della protezione dei dati, si apre individuando 3 casi di nomina obbligatoria del DPO, laddove si prevede che il titolare del trattamento e, ove previsto, il responsabile del trattamento, designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:

  1. a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali.

In proposito, le Linee guida Gruppo di lavoro art. 29 per la protezione dei dati, in commento alla presente disposizione, fornisce la nozione di «autorità pubblica» e di «organismo pubblico».

Da un lato, in mancanza di una definizione nel GDPR, il Gruppo di lavoro art. 29 ritiene che tale definizione debba essere conforme al diritto nazionale; conseguentemente, sono autorità pubbliche o organismi pubblici le autorità nazionali, regionali e locali.

Dall’altro lato, a seconda del diritto nazionale applicabile, la nozione è destinata a ricomprendere anche tutta una serie di altri organismi di diritto pubblico.

Osserva, inoltre, il Gruppo di lavoro che Lo svolgimento di funzioni pubbliche e l’esercizio di pubblici poteri non pertengono esclusivamente alle autorità pubbliche e agli organismi pubblici, potendo riferirsi anche ad altre persone fisiche o giuridiche, di diritto pubblico o privato, in ambiti che variano a seconda delle disposizioni fissate nel diritto interno di ciascuno Stato membro. In tutti questi casi la situazione in cui versano gli interessati è probabilmente molto simile a quella in cui il trattamento è svolto da un’autorità pubblica o da un organismo pubblico: i trattamenti perseguono finalità simili e spesso il singolo ha, in modo analogo, un margine esiguo o nullo rispetto alla possibilità di decidere se e come possano essere trattati i propri dati personali; pertanto, è verosimile che sia necessaria l’ulteriore tutela offerta dalla nomina di un RPD.

Benché nei casi sopra descritti non sussista l’obbligo di nominare un RPD, il Gruppo di lavoro raccomanda, in termini di buone prassi, che gli organismi privati incaricati di funzioni pubbliche o che esercitano pubblici poteri nominino un RPD.

  1. b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala.
  1. c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’art. 9 o di dati relativi a condanne penali e a reati di cui all’art. 10 UE 2016/679.

Ancora una volta il Gruppo di lavoro art. 29, con le proprie Linee guida, offre all’interprete un valido aiuto indicando la nozione di “attività principali”. Con tale locuzione si individuano le operazioni essenziali che sono necessarie al raggiungimento degli obiettivi perseguiti dal titolare del trattamento o dal responsabile del trattamento, compresi tutti quei casi in cui il trattamento di dati costituisce una componente inscindibile dalle attività svolte dal titolare del trattamento o dal responsabile del trattamento.

Per dare maggiore chiarezza, lo stesso Gruppo di lavoro art. 29 fornisce un esempio pratico, rappresentando il caso di un’impresa di sicurezza privata incaricata della sorveglianza di più centri commerciali e aree pubbliche. L’attività principale dell’impresa consiste nella sorveglianza, e questa, a sua volta, è legata in modo inscindibile al trattamento di dati personali. Ne consegue che l’impresa in oggetto deve nominare un RPD.

Un esempio di segno contrario viene fornito subito di seguito:  tutti gli organismi (pubblici e privati) svolgono determinate attività quali il pagamento delle retribuzioni al personale o la predisposizione di strutture standard di supporto informatico, tuttavia, in questi casi, pur trattandosi di funzioni necessarie o essenziali ai fini dell’attività principale o dell’oggetto principale del singolo organismo, sono considerate solitamente accessorie e non vengono annoverate fra le attività principali.

Un altro concetto su cui molto si è dibattuto al momento dell’emanazione del Reg. UE 2016/679 è la nozione di “larga scala”.

Al riguardo, il Gruppo di lavoro art. 29, pur avvertendo che è impossibile precisare la quantità di dati oggetto di trattamento o il numero di interessati in modo da coprire tutte le eventualità, tuttavia, afferma che ciò non significa che sia impossibile, col tempo, individuare alcuni standard utili a specificare in termini più specifici e/o quantitativi cosa debba intendersi per “larga scala” con riguardo ad alcune tipologie di trattamento maggiormente comuni.

Di conseguenza, raccomanda di tenere conto, in particolare, dei fattori elencati nel prosieguo al fine di stabilire se un trattamento sia effettuato su larga scala:

  • il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
  • il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
  • la durata, ovvero la persistenza, dell’attività di trattamento;
  • la portata geografica dell’attività di trattamento.

Il Gruppo di lavoro fornisce anche alcuni esempi chiarificatori di trattamento su larga scala:

  • il trattamento di dati relativi a pazienti svolto da un ospedale nell’ambito delle ordinarie attività;
  • il trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio);
  • il trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività;
  • il trattamento di dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile del trattamento specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food;
  • il trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale;
  • il trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici.

Un ulteriore argomento di discussione è sorto con riferimento alla corretta nozione di “monitoraggio regolare e sistematico”.

Al riguardo, il Considerando 24 menziona il “monitoraggio del comportamento di detti interessati” ricomprendendovi senza dubbio tutte le forme di tracciamento e profilazione su Internet anche per finalità di pubblicità comportamentale.

Occorre rilevare, però, che la nozione di monitoraggio non trova applicazione solo con riguardo all’ambiente online, e che il tracciamento online va considerato solo uno dei possibili esempi di monitoraggio del comportamento degli interessati.

L’aggettivo regolare, a giudizio del Gruppo di lavoro art. 29, ha almeno uno dei seguenti significati:

– che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito;

ricorrente o ripetuto a intervalli costanti;

– che avviene in modo costante o a intervalli periodici.

Sempre secondo l’interpretazione del Gruppo di lavoro art. 29, l’aggettivo sistematico ha almeno uno dei seguenti significati:

– che avviene per sistema;

predeterminato, organizzato o metodico;

– che ha luogo nell’ambito di un progetto complessivo di raccolta di dati;

– svolto nell’ambito di una strategia.

L’organismo europeo procede, quindi, come sempre, a fornire alcuni esempi esplicativi, in base ai quali rientra nella nozione di monitoraggio regolare e sistematico lo svolgimento delle seguenti attività:

  • la cura del funzionamento di una rete di telecomunicazioni;
  • la prestazione di servizi di telecomunicazioni;
  • il reindirizzamento di messaggi di posta elettronica;
  • le attività di marketing basate sull’analisi dei dati raccolti;
  • la profilazione e lo scoring per finalità di valutazione del rischio (per esempio, a fini di valutazione del rischio creditizio, della definizione dei premi assicurativi, della prevenzione delle frodi, dell’accertamento di forme di riciclaggio);
  • il tracciamento dell’ubicazione, per esempio da parte di app su dispositivi mobili;
  • i programmi di fidelizzazione;
  • la pubblicità comportamentale;
  • il monitoraggio di dati relativi allo stato di benessere psicofisico, alla forma fisica e alla salute attraverso dispositivi indossabili;
  • l’utilizzo di telecamere a circuito chiuso;
  • i dispositivi connessi quali contatori intelligenti, automobili intelligenti, dispositivi per la domotica, ecc.

A corollario della disposizione in esame, il successivo par. 4 della disposizione in esame individua un’ulteriore ipotesi di nomina obbligatoria nel caso in cui sia il diritto dell’Unione o degli Stati membri a disporlo.

Titolare del trattamento e responsabile del trattamento: a chi spetta nominare il RPD?

Vale la pena di evidenziare che anche qualora il titolare del trattamento sia tenuto, in base ai criteri suddetti, a nominare un RPD, il suo eventuale responsabile del trattamento non è detto sia egualmente tenuto a procedere a tale nomina – che però può costituire una buona prassi.

Di seguito due esempi elaborati sul punto dal Gruppo di lavoro art. 29 per dimostrare che in alcuni casi in cui il titolare del trattamento abbia nominato un responsabile del trattamento, l’obbligo di ulteriore nomina di un Responsabile della Protezione dei Dati può gravare ora esclusivamente sul primo, ora soltanto sul secondo:

Esempio 1) Una piccola azienda a conduzione familiare operante nel settore della distribuzione di elettrodomestici, che svolge la propria attività al dettaglio in un ambito territoriale limitato ad una sola città, si serve di un responsabile del trattamento la cui attività principale consiste nel fornire servizi di tracciamento degli utenti del sito web oltre all’assistenza per attività di pubblicità e marketing mirati. È di immediata evidenza che, mentre le attività svolte dall’azienda (e da tutti i singoli clienti del responsabile del trattamento) non generano trattamenti di dati “su larga scala”, in considerazione del ridotto numero di clienti e della gamma relativamente limitata di attività, al contrario, il solo responsabile del trattamento, che conta numerosi clienti come questa piccola azienda familiare, svolge, nel suo complesso, trattamenti su larga scala, di conseguenza è soggetto all’obbligo di nomina di un RPD ai sensi dell’art. 37 par. 1 lett. c) Reg. Reg. UE 2016/679.

Esempio 2) Un’impresa di medie dimensioni, che produce rivestimenti in ceramica, incarica un responsabile esterno della gestione dei servizi di salute occupazionale; tale responsabile ha un numero elevato di clienti con caratteristiche analoghe. Ne deriva che il responsabile del trattamento è tenuto a nominare un RPD ai sensi dell’art. 37, par. 1, lett. b) Reg. UE 2016/679, poiché svolge trattamenti su larga scala. Viceversa, l’azienda non è tenuta necessariamente allo stesso adempimento.

Nomina del RPD da parte di un gruppo imprenditoriale o un soggetto pubblico

Proseguendo nell’esame dell’art. 37, si ritrovano due ulteriori aspetti di primaria rilevanza: quando il titolare del trattamento sia un gruppo imprenditoriale o un’autorità pubblica o un organismo pubblico.

Nel primo caso, al gruppo è consentito nominare un unico Responsabile della Protezione dei Dati, a condizione che questi sia facilmente raggiungibile da ciascuno stabilimento.

Nel secondo caso, se il titolare del trattamento o il responsabile del trattamento sono un’autorità pubblica o un organismo pubblico, possono designare un unico RPD per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione.

Nomina facoltativa del RPD

Fuori dai casi di nomina obbligatoria il titolare e del trattamento, il responsabile del trattamento o le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o di responsabili del trattamento possono designare un responsabile della protezione dei dati.

Chi può essere nominato RPD

Il RPD, selezionato sempre tenendo conto delle sue specifiche qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati e della capacità di assolvere i compiti di cui all’art. 39 Reg. UE 2016/679, può essere:

interno: un dipendente del titolare del trattamento o del responsabile del trattamento può, in altri termini, assumere anche l’incarico di RPD;

esterno: in tal caso l’incarico di Responsabile della Protezione dei Dati è conferito in base a un contratto di servizi, che regolamenta i compiti assegnati.

Una volta effettuata la nomina del responsabile della protezione dei dati, il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del RPD e li comunica all’autorità di controllo.

Lascia un commento

Torna in alto