Privacy Officer: pubblica autorità, larga scala, attività principale

Dopo aver esaminato i casi in cui la designazione del DPO è obbligatoria e le conseguenze di una eventuale nomina su base volontaria, procediamo ad analizzare alcuni concetti introdotti dall’articolo 37 del GDPR.

Articolo 37 – Designazione del responsabile della protezione dei dati

Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:

a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure

c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.

Autorità pubblica od organismo pubblico

Il GDPR non fornisce le definizioni di “autorità pubblica” od “organismo pubblico”, ragion per cui esse devono  essere determinate ai sensi del diritto nazionale.

Secondo il WP29 è, comunque, opportuno che anche gli esercenti un pubblico servizio o i soggetti privati che esercitano una funzione pubblica designino un DPO.

Attività principale

Il considerando 97 chiarisce che, nel settore privato, le attività principali del Titolare del trattamento sono quelle che “riguardano le sue attività primarie ed esulano dal trattamento dei dati personali come attività accessoria“.

Le attività principali si possono, quindi, definire come le operazioni necessarie per raggiungere obiettivi del Titolare. Tuttavia è bene ricordare che esse ricomprendono anche quelle in cui il trattamento dei dati costituisce una parte integrante dell’attività del Titolare.

Le Linee Guida del WP29 chiariscono il concetto con il seguente esempio: l’attività principale di un ospedale è quella di fornire assistenza sanitaria. Tuttavia, un ospedale non potrebbe raggiungere tale obbiettivo in modo sicuro ed efficace senza elaborare i dati personali dei pazienti (dati sanitari). Pertanto, l’elaborazione di questi dati deve essere considerata una delle attività principali dell’ospedale, con conseguente obbligo di designare un DPO.

Larga scala

Le lettere b) e c) del primo comma dell’articolo 37 richiedono che il trattamento sia effettuato “su larga scala” affinchè scatti l’obbligo di designare un Privacy Officer. Il legislatore europeo, però, non chiarisce cosasi intenda per “larga scala”.

Il WP29 riconosce come non sia possibile stabilire un numero preciso per quanto riguarda la quantità di dati elaborati o il numero di Interessati che possa essere applicabile a tutte le situazioni. Le Linee Guida, comunque, individuano alcuni fattori che possono essere presi in considerazione per determinare se un trattamento sia o meno effettuato “su larga scala”:

  • il numero di Interessati, sia come numero specifico che come percentuale di popolazione interessata;
  • il volume e/o la gamma dei diversi dati da trattare;
  • la durata o continuità, dell’attività di trattamento dei dati;
  • l’estensione geografica dell’attività di trattamento.

Costituiscono esempi di elaborazioni su larga scala il trattamento di:

  • dati dei pazienti da parte di un ospedale;
  • dati di viaggio degli individui che utilizzano il sistema di trasporto pubblico di una città;
  • dati di geo-localizzazione in tempo reale relativi ai clienti di una catena fast food internazionale a fini statistici;
  • dati dei clienti durante il normale svolgimento delle attività di un’assicurazione o di una banca;
  • dati personali con finalità di profilazione da parte di un motore di ricerca;
  • dati relativi al contenuto, al traffico, alla localizzazione effettuato da provider di servizi telefonici o ISP.

Non rientrano, invece, nel  concetto di larga scala:

  • il trattamento dei dati del paziente da parte di un singolo medico;
  • il trattamento di dati personali relativi a condanne penali e reati da parte di un singolo avvocato.

 

 

Luca Zenarolla

Avvocato, mi occupo sin dai tempi dell'Università di diritto delle nuove tecnologie. Sono il presidente del Centro Innovazione & Diritto.

Lascia un commento