6/10 Devo nominare il «Dpo» e con quali responsabilità?
di Luigi Fruscione e Benedetto Santacroce
Attività principale e larga scala: su questi parametri si basa l’obbligo di nomina del Dpo (Data Protection Officer o Rpd, responsabile della protezione dei dati, nella versione italiana del Regolamento) per i soggetti privati da parte del titolare del trattamento, come indicano le lettere b) e c) nel primo paragrafo dell’articolo 37 del Gdpr.
Qual è il perimetro del concetto di «attività principale» del titolare? In base al Considerando n.97 vi rientrano «le sue attività primarie ed esulano dal trattamento dei dati personali come attività accessoria». A integrazione dello scarno dettato normativo il Gruppo di lavoro Articolo 29 (documento WP 243 rev. 01 del 5 aprile 2017) precisa che l’espressione «attività principali» «non va interpretata nel senso di escludere quei casi in cui il trattamento di dati costituisce una componente inscindibile dalle attività svolte dal titolare del trattamento o dal responsabile del trattamento» (si veda la scheda).
Per il concetto di «larga scala», invece, il Considerando 91 stabilisce che tali sono quelle attività «che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato».
Anche qui, a integrazione della normativa, il Comitato individua dei parametri al fine di stabilire se un trattamento sia effettuato su larga scala, ad esempio: il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento; il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento.
Inquadrati i requisiti applicabili ad entrambi i casi di nomina del Dpo previsti alle lettere b) e c) dell’articolo 37 esaminiamo l’ulteriore requisito previsto dalla lettera b): il «monitoraggio regolare sistematico» degli interessati. L’aggettivo «regolare» può essere inteso, secondo il Comitato, nelle seguenti accezioni: che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito; ricorrente o ripetuto a intervalli costanti; che avviene in modo costante o a intervalli periodici.
L’aggettivo «sistematico», invece, può intendersi: che avviene per sistema; predeterminato, organizzato o metodico; svolto nell’ambito di una strategia.
La seconda ipotesi di obbligo di nomina del Dpo – lettera c) dell’articolo 37 del Gdpr - riguarda i casi in cui le attività principali del titolare del trattamento consistano in trattamenti su larga scala dei dati particolari (gli ex sensibili) o dei dati giudiziari previsti dall’articolo 10 del Gdpr; in tal caso, richiamati i criteri di «attività principale» e «larga scala», la disposizione non si presta particolari dubbi interpretativi essendo necessario verificare solo se il trattamento attiene a dati particolari.
© Riproduzione riservata