Privacy: la figura del RPD e il Modulo di comunicazione delle informazioni di contatto
aprile 6 | Pubblicato da Luigi Sorreca | EconomiaIl Garante per la Protezione dei Dati Personali ha pubblicato il Modello per la comunicazione delle informazioni di contatto relative alla figura di RPD (Responsabile Protezione Dati o DPO – Data Protection Officer), ossia il referente che all’interno dell’azienda ricoprirà il ruolo di responsabile per la protezione dei dati personali ai sensi del GDPR.
Il Data Protection Officer (D.P.O.) rappresenta una nuova figura, da collocare all’interno dell’organigramma aziendale privacy, che è stata mutuata dal Legislatore comunitario dalla legislazione americana ove tale professionista è già previsto.
Il suo compito principale è di vigilare sulla corretta applicazione della normativa in materia di protezione dei dati personali, da parte dell’ente/organizzazione. La designazione di un D.P.O. deve essere basata sulle sue qualità personali e professionali, riservando una particolare attenzione alle sue conoscenze specialistiche nel campo della protezione dei dati personali, è altresì raccomandabile che il D.P.O. abbia una buona conoscenza del funzionamento della organizzazione alla quale appartiene o dalla quale viene designato.
Il D.P.O. fa piena parte della organizzazione ed esercita le sue funzioni in piena indipendenza. Non deve avere conflitti di interesse con la organizzazione che gli deve mettere a disposizione personale e risorse economiche al fine di permettergli l’esercizio delle sue funzioni.
Di questa figura chiave prevista dal Regolamento, dovranno quindi obbligatoriamente dotarsi tutte le imprese e gli enti di una certa dimensione mentre per gli altri Titolari del trattamento la scelta se nominarli o meno resterà a loro discrezione.
I casi, ricorrendo i quali la nomina (rectius, la designazione) è obbligatoria sono dettagliatamente riportati nell’art. 37 del Regolamento UE 2016/679:
- il trattamento è effettuato da un’Autorità pubblica o da un organismo pubblico, eccettuate le Autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
- le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
- le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10. (par. 1).
In virtù di quanto previsto dal comma 7 dell’art. 37 del Regolamento, il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all’autorità di controllo, utilizzando il Modello comunicazione al Garante dei dati dell’RPD.
Le informazioni di contatto del proprio RPD (DPO) devono quindi essere correttamente rese pubbliche da parte delle imprese, ad esempio mediante la messa online sul portale aziendale, e allo stesso tempo trasmesse al Garante della Privacy (l’autorità di controllo), utilizzando il Modello comunicazione al Garante dei dati dell’RPD.
Il significato della espressione “larga scala”
L’espressione “larga scala” non è di facile esplicazione in quanto manca di un preciso perimetro fattuale di riferimento. A tale proposito, nelle Linee-guida sui responsabili della protezione dei dati (RPD) – WP243 adottate dal Gruppo di lavoro Art. 29 il 13 dicembre 2016 si parla di “un’ampia zona grigia”.
Ciò è evidenziato anche nelle sopra citate Linee-guida , ove si afferma che “Nel regolamento non si dà alcuna definizione di trattamento su larga scala, anche se il considerando 91 fornisce indicazioni in proposito”.
Ad esempio, relativamente alle ipotesi in cui titolare del trattamento sia una impresa di medie o piccole dimensioni (PMI) si potrebbe supporre di ricorrere al criterio fornito attraverso la nozione di PMI fornita dalla legislazione comunitaria, ma è sufficiente la lettura del Considerando (91) per rendersi conto che i criteri che i Regolamento ha in mente sono diversi e precisamente quelli di un trattamento “di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale”, collegati, a loro volta, alla loro potenziale incidenza “su un vasto numero di interessati”, il tutto collegato alla considerazione che essi costituiscano potenzialmente “un rischio elevato” in considerazione della “loro sensibilità”.
E’ sempre il Considerando (91) a indicare una serie di casi che non rientrano nell’obbligo di nominare il D.P.O., “Il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato”.
Alcuni esempi – riportati nelle Linee-guida – di trattamento su larga scala sono:
- trattamento di dati relativi a pazienti svolto da un ospedale nell’ambito delle ordinarie attività;
- trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio);
- trattamento di dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food;
- trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività;
- trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale;
- trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici.
Alcuni esempi – riportati nelle Linee-guida – di trattamento non su larga scala sono:
- trattamento di dati relativi a pazienti svolto da un singolo professionista sanitario;
- trattamento di dati personali relativi a condanne penali e reati svolto da un singolo avvocato.