Approfondimento sull’obbligatorietà della nomina del DPO
Ci si trova spesso in difficoltà ad interpretare la norma in merito all’obbligatorietà o meno della necessità di nominare un DPO. Facciamo il più possibile chiarezza, analizzando i punti principali ove occorre approfondire facendo esempi.
Trattamento dei dati svolto da un’Autorità pubblica o organismo pubblico
Il Regolamento GDPR non fornisce una definizione specifica di “autorità pubblica” o “organismo pubblico”. Questa definizione deve essere stabilita in base al diritto nazionale di ciascun paese. Di conseguenza, questa nozione può includere non solo le autorità nazionali, regionali e locali (come le amministrazioni statali, anche con autonomia decisionale, enti pubblici nazionali, regionali e locali, regioni e comuni, università, Camere di commercio, industria, artigianato e agricoltura, aziende del Servizio Sanitario Nazionale, autorità indipendenti, ecc.), ma anche, a seconda del diritto nazionale applicabile, una serie di “altri organismi” di diritto pubblico.
Ma cosa si intende nel contesto italiano per “organismo di diritto pubblico”?
Ai sensi dell’articolo 3, comma 1, lettera d) del Decreto Legislativo 50/2016, noto come il “Nuovo Codice degli Appalti”, per “organismo di diritto pubblico” si intende “qualsiasi organismo, anche sotto forma di società, che sia stato creato per soddisfare specifiche esigenze di interesse generale, che non abbia scopi industriali o commerciali, che abbia personalità giuridica e che riceva la maggior parte dei suoi finanziamenti dallo Stato, dagli enti pubblici territoriali o da altri organismi di diritto pubblico, o che sia soggetto al loro controllo, o il cui organo di amministrazione, direzione o vigilanza sia composto per più della metà da membri nominati dallo Stato, dagli enti pubblici territoriali o da altri organismi di diritto pubblico.”
Ciò significa che, come confermato dalla Suprema Corte (Cassazione, Sezioni Unite, sentenza n. 24722/2008), anche una società per azioni (dotata di personalità giuridica) interamente controllata da un ente pubblico territoriale deve essere considerata un organismo di diritto pubblico se è creata per soddisfare bisogni pubblici. In altre parole, ciò che conta non è la forma giuridica, ma piuttosto la reale natura dell’ente e la sua finalità nell’affrontare specifici bisogni, anche se le imprese con una struttura societaria possono fornire servizi simili.
Volendo fornire una visione interpretativa alla base legislativa nazionale si potrebbe affermare che i concessionari di pubblici servizi in settori come i trasporti pubblici, le forniture idriche ed elettriche, le infrastrutture stradali, le emittenti radiotelevisive pubbliche, gli ordini professionali, ecc., dovrebbero essere considerati “organismi pubblici” in base al diritto nazionale. Di conseguenza, in conformità con l’articolo 37, paragrafo 1, lettera a) del GDPR, sarebbero tenuti a designare un Data Protection Officer (DPO).
Tuttavia, questa conclusione non è completamente in linea con la posizione espressa a livello europeo dal WP29, che è stato anche recentemente riportato dal Garante italiano nelle Nuove FAQ sul Responsabile della Protezione dei dati (DPO) in ambito pubblico (in aggiunta alle linee guida adottate dal Gruppo Articolo 29). L’organismo europeo, infatti, sebbene rimandi al diritto nazionale per la definizione di “organismo pubblico”, ritiene che la nomina del DPO non sia obbligatoria nei casi in cui una funzione pubblica è svolta da soggetti privati, come i concessionari di pubblici servizi, ma piuttosto altamente raccomandata come pratica virtuosa.
Cosa si intende per attività principali (“core activities”)
Il considerando 97 precisa che, nel contesto delle imprese private, le “attività principali” di un’azienda si riferiscono alle sue “attività primarie” e non includono i casi in cui il “trattamento dei dati personali” è solo un’attività secondaria. Le “attività principali” sono quindi quelle operazioni essenziali necessarie per raggiungere gli obiettivi dell’azienda.
Il WP29 ha chiarito che l’espressione “attività principali” non deve essere interpretata nel senso di escludere quei casi in cui il trattamento dei dati, pur non essendo un’attività principale, costituisce comunque una componente indispensabile delle attività svolte. Ad esempio, l’attività principale di un ospedale è la prestazione di assistenza sanitaria, ma questa non potrebbe essere eseguita in modo sicuro ed efficace senza il trattamento dei dati relativi alla salute presenti nelle cartelle cliniche dei pazienti.
Di conseguenza, il trattamento di tali informazioni deve essere considerato come parte integrante delle attività principali di qualsiasi ospedale. La stessa considerazione si applica a un’impresa di sicurezza privata incaricata della sorveglianza di più centri commerciali e aree pubbliche. L’attività primaria di quest’impresa è la sorveglianza, ma questa è inextricabilmente legata al trattamento di dati personali. Pertanto, secondo il WP29, sia gli ospedali che le imprese di sorveglianza, come descritto in precedenza, sono tenuti a nominare un Responsabile della Protezione dei Dati (DPO).
D’altro canto, attività come il pagamento delle retribuzioni al personale o la predisposizione di strutture standard di supporto informatico, sebbene necessarie o essenziali, sono generalmente considerate come accessorie e non rientrano tra le “attività principali”.
Per quanto riguarda il concetto di “monitoraggio regolare e sistematico” degli interessati, il GDPR non lo definisce esplicitamente. Tuttavia, il considerando 24 menziona il “monitoraggio del comportamento degli interessati”, che senza dubbio include tutte le forme di tracciamento e profilazione su Internet. Il WP29 precisa che il tracciamento online è solo uno dei possibili esempi di monitoraggio del comportamento degli interessati.
Secondo il WP29, l’aggettivo “regolare” ha almeno uno dei seguenti significati:
Avviene in modo continuo o a intervalli definiti per un periodo stabilito.
È ricorrente o ripetuto a intervalli costanti.
Si svolge in modo costante o a intervalli periodici.
L’aggettivo “sistematico” ha almeno uno dei seguenti significati:
Si svolge in modo pianificato o organizzato.
È predeterminato, organizzato o metodico.
Fa parte di un progetto complessivo di raccolta di dati.
È parte di una strategia.
Esempi di settori sottoposti all’obblgatorietà
Alcuni esempi di attività che possono configurare un monitoraggio regolare e sistematico degli interessati, come stabilito dal WP29, includono:
– La gestione di una rete di telecomunicazioni.
– La prestazione di servizi di telecomunicazioni.
– Il reindirizzamento di messaggi di posta elettronica (email retargeting).
– Attività di marketing basate sull’analisi dei dati raccolti.
– Profilazione e scoring per scopi di valutazione del rischio (ad esempio, valutazione del rischio creditizio, definizione dei premi assicurativi, prevenzione delle frodi, accertamento di riciclaggio).
– Tracciamento dell’ubicazione, come quello effettuato da app su dispositivi mobili.
– Programmi di fidelizzazione.
– Pubblicità comportamentale.
– Monitoraggio di dati relativi allo stato di benessere psicofisico, alla forma fisica e alla salute attraverso dispositivi indossabili.
– L’uso di telecamere a circuito chiuso.
– Dispositivi connessi come contatori intelligenti, automobili intelligenti, dispositivi per la domotica, ecc.
Cosa si intende per attività esercitata su Larga scala?
Nel Regolamento GDPR, non è fornita una definizione esplicita di “trattamento su larga scala”. Tuttavia, il considerando 91 offre alcune indicazioni, considerando trattamenti su larga scala quelli che coinvolgono “una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato.” Inoltre, precisa che non dovrebbe essere considerato un trattamento su larga scala il trattamento di “dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato”.
Tuttavia, il WP29 sottolinea che queste sono solo esemplificazioni agli estremi della scala (dal singolo medico al trattamento di dati a livello nazionale o europeo) e che esiste una vasta zona grigia tra questi estremi. Poiché non ci sono attualmente standard definiti per specificare il concetto di “trattamento su larga scala” e le relative soglie applicabili, il WP29 raccomanda di considerare i seguenti fattori per determinare se un trattamento può essere considerato su larga scala:
Il numero di soggetti interessati, sia in termini assoluti che in percentuale rispetto alla popolazione di riferimento.
Il volume dei dati e la diversità dei dati oggetto di trattamento.
La durata o persistenza dell’attività di trattamento.
La portata geografica dell’attività di trattamento.
Esempi di trattamenti su larga scala includono, ma non si limitano a:
– Il trattamento dei dati relativi ai pazienti da parte di un ospedale nell’ambito delle sue normali attività.
– Il monitoraggio degli spostamenti degli utenti di un servizio di trasporto pubblico cittadino (ad esempio, il tracciamento tramite titoli di viaggio).
– La raccolta in tempo reale dei dati di geolocalizzazione a scopo statistico da parte di un fornitore specializzato che offre servizi a clienti di una catena internazionale di fast food.
– Il trattamento dei dati dei clienti da parte di una compagnia assicurativa o una banca nelle loro attività quotidiane.
– Il trattamento dei dati personali da parte di un motore di ricerca per scopi di pubblicità comportamentale.
– Il trattamento dei dati (metadati, contenuti, posizione) da parte di fornitori di servizi telefonici o telematici.
Rimane importante considerare che l’applicazione della definizione di “trattamento su larga scala” può variare in base al contesto e ai fattori specifici legati a ciascun trattamento dei dati personali.
Alla luce di quanto esposto, per determinare se sono tenute o meno a designare un Responsabile della Protezione dei Dati (DPO) in conformità all’articolo 37, paragrafo 1, lettera b) del GDPR, le imprese devono valutare:
Se le attività di trattamento da loro svolte richiedono, per loro natura, ambito di applicazione e/o finalità, un “monitoraggio regolare e sistematico” degli interessati.
In caso affermativo, se tale monitoraggio è effettuato “su larga scala”.
Se tale monitoraggio può essere considerato un’attività principale.
Esempi di applicazione dei criteri della GDPR
Esaminiamo ora come applicare questi criteri (che, come già indicato, sono vaghi e indeterminati) con un esempio pratico: una multiutility operante nei settori idrico, energetico e del gas, con diversi milioni di utenti in vari comuni di alcune regioni italiane, monitora costantemente e regolarmente i consumi dei propri utenti. La società permette loro di effettuare l’autolettura a distanza dei consumi di acqua, luce e gas in modo automatico e fornisce servizi web per l’analisi dei consumi.
Indipendentemente dall’applicabilità del criterio di cui all’articolo 37, paragrafo 1, lettera a), si può sostenere che questa società effettua un monitoraggio regolare e sistematico degli interessati, in base all’interpretazione fornita dal WP29 di tali aggettivi. Inoltre, il trattamento dei dati effettuato dalla società coinvolge un gran numero di soggetti, una considerevole quantità di dati, una durata prolungata e una vasta estensione geografica, il che lo rende, secondo il considerando 91, un trattamento di “notevole quantità di dati personali a livello regionale” e, quindi, su “larga scala”.
Per quanto riguarda l’ultima caratteristica, l’attività principale svolta dalla società non è il trattamento dei dati personali dei propri utenti, ma la fornitura di servizi pubblici. Tuttavia, è necessario valutare se sia possibile erogare efficacemente questi servizi senza trattare dati personali. Anche se non è esplicitamente menzionato dal WP29, la costante rilevazione dei consumi potrebbe essere considerata necessaria per erogare tali servizi o strettamente connessa all’attività principale della società. Pertanto, sembra opportuno che questa società nomini un DPO.
Infine, è importante notare che la nomina del Responsabile della Protezione dei Dati è obbligatoria anche se le attività principali di un’organizzazione comprendono il trattamento su larga scala di “categorie particolari di dati” ai sensi dell’articolo 9 del GDPR (cioè dati idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, dati genetici, dati biometrici per l’identificazione univoca di una persona fisica, dati sulla salute o sulla vita sessuale o sull’orientamento sessuale) o di “dati relativi a condanne penali e a reati” ai sensi dell’articolo 10 del GDPR, considerati meritevoli di una maggiore protezione secondo la legge.