Adempimenti GDPR
Gentile Lettore,
seguitiamo ad aggiornarti sui contenuti ed "adeguamento GDPR" del nuovo impianto normativo in materia di privacy di cui al GDPR (Regolamento Europeo 679/2016) e collegata normativa nazionale (D.Lgs. 196/2003, ora novellato dal D.Lgs. 101/2018).
La preoccupazione di tanti operatori interessati dall’entrata in vigore della “nuova” privacy GDPR risulta spesso caratterizzata da un’espressa richiesta di identificare la figura del DPO, coniugata alla richiesta di essere indirizzati da noi consulenti alla scelta delle caratteristiche del soggetto e del suo posizionamento organizzativo (risorsa interna oppure esterna, qualità professionali, compensi e durata della nomina, etc.)
È bene quindi precisare – prima di tutto – che NON TUTTI GLI OPERATORI HANNO L’OBBLIGO DI NOMINARE UN DPO!
Aiuterà la lettura delle norme e correlate linee guida che esplicitano i casi di obbligatorietà.
adeguamento GDPR
Riferimenti normativi (GDPR 679/2016)
Articolo 37 GDPR - Designazione del responsabile della protezione dei dati.
1. Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:
a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10.
L’avverbio sistematicamente lo tradurremmo meglio in obbligatoriamente e l’osservazione ci aiuta a concludere – per quanto ovvio – che in ogni caso qualsiasi struttura non obbligata dalla norma potrà nominare il proprio DPO facoltativamente; è bene aggiungere che le linee guida di riferimento (WP 243) suggeriscono che anche ove il regolamento non imponga in modo specifico la designazione di un DPO, può risultare utile procedere a tale designazione su base
volontaria.
Il suggerimento che possiamo fornire è quello di valutare l’opportunità di nomina del DPO facoltativo in aziende di media dimensione, considerando la più ampia opzione di presidiare la protezione dei dati anche di natura non-personale e sulla base di questi parametri: massa ed eterogeneità dei dati personali e dei data base, complessità dei processi ed articolazione dei ruoli organizzativi.
Nel caso non si nomini un DPO si consiglia di documentare la scelta, così dando evidenza del processo valutativo di verifica che ha dimostrato la non applicabilità della norma.
Per il resto, le tre prescrizioni di obbligatorietà risultano:
a) Generalmente le autorità e gli organismi pubblici (p.e. Comuni, Regioni, INPS, INAIL, Ministeri, Scuole, Ospedali etc.);
b) Titolari (leggasi Enti, Società o Operatori non in ambito pubblico) che trattano dati (dati personali!) attraverso metodiche sistematiche e regolari di monitoraggio su larga scala;
c) Titolari (leggasi Enti, Società o Operatori non in ambito pubblico) che trattano dati personali riconducibili a quelli definiti come:
- Art.9 - particolari (ossia sensibili): dati genetici, biometrici, sulla salute, sulle opinioni o gli orientamenti di carattere politico religioso o filosofico,
sull’appartenenza a sindacati, sugli orientamenti o sulla vita sessuale; - Art. 10 – dati (personali) relativi alle condanne penali, ai reati ed alle connesse misure di sicurezza;
Appare evidente che per quanto sub a) e sub c) ben pochi dubbi si pongono agli operatori nell’identificare l’obbligo di nomina del DPO; più complesso è il caso di
cui al punto b) che riguarda evidentemente trattamenti effettuati nel settore privato (v. considerando n. 97 al GDPR) dove vanno definiti i termini di ATTIVITÀ PRINCIPALI, MONITORAGGIO REGOLARE E SISTEMATICO e LARGA SCALA.
adeguamento GDPR
ATTIVITÀ PRINCIPALI
Le attività principali di un titolare del trattamento “riguardano le sue attività primarie ed esulano dal trattamento dei dati personali come attività accessoria”; si tratta quindi di operazioni essenziali necessarie al raggiungimento degli obiettivi perseguiti dal titolare del trattamento o dal responsabile del trattamento.
Esempio 1: l’attività di ricerca del personale di una azienda che offre servizi di selezione (head hunting) è principale mentre non lo sarà per l’azienda manifatturiera che recluta personale, anche se lo facesse con continuità e detenendo un data base di curricula in costante aggiornamento.
Esempio 2: l’attività di geolocalizzazione di un veicolo risulta principale per un gestore di autonoleggio mentre non lo è per un’azienda di servizi che monitori la movimentazione della propria flotta di auto assegnate a dipendenti dell’area commerciale.
adeguamento GDPR
MONITORAGGIO REGOLARE E SISTEMATICO
Il concetto di monitoraggio regolare e sistematico degli interessati ricomprende senza dubbio tutte le forme di tracciamento e profilazione su Internet anche per finalità di pubblicità comportamentale ma non trova applicazione solo con riguardo all’ambiente online, e che il tracciamento online va considerato solo uno dei possibili esempi di monitoraggio del comportamento degli interessati.
Il monitoraggio è definito “regolare” quando ricorre almeno uno dei seguenti comportamenti:
- avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito;
- è ricorrente o ripetuto a intervalli costanti;
- avviene in modo costante o a intervalli periodici.
Il monitoraggio è definito “sistematico” quando ricorre almeno uno dei seguenti comportamenti
- avviene per sistema;
- è predeterminato, organizzato o metodico;
- ha luogo nell’ambito di un progetto complessivo di raccolta di dati;
- è svolto nell’ambito di una strategia.
Riportiamo alcune esemplificazioni di attività che possono configurare un monitoraggio regolare e sistematico di interessati che il P243 ci fornisce:
- curare il funzionamento di una rete di telecomunicazioni;
- la prestazione di servizi di telecomunicazioni;
- il reindirizzamento di messaggi di posta elettronica;
- attività di marketing basate sull’analisi dei dati raccolti;
- profilazione e scoring per finalità di valutazione del rischio (per esempio, rischio creditizio, definizione dei premi assicurativi, prevenzione delle frodi);
- tracciamento dell’ubicazione, per esempio da parte di app su dispositivi mobili;
- programmi di fidelizzazione;
- pubblicità comportamentale;
- monitoraggio di dati relativi allo stato di benessere psicofisico, alla forma fisica e alla salute attraverso dispositivi indossabili;
- utilizzo di telecamere a circuito chiuso;
- dispositivi connessi quali contatori intelligenti, automobili intelligenti, dispositivi per la domotica, ecc.
Si faccia attenzione al fatto che detto monitoraggio, regolare e sistematico, deve comunque riguardare l’attività principale del Titolare (oppure del Responsabile) e non evidenzia l’obbligo di DPO se attuato come attività accessoria nell’ambito delle strategie di impresa.
Questa osservazione trova una logica se osserviamo gli effetti del monitoraggio, riprendendo gli esempi di cui sopra:
Esempio 1: il monitoraggio regolare e sistematico da parte dell’head hunter dei profili oggetto di selezione attraverso lo scoring dei candidati è cosa diversa da analoga attività di valutazione delle potenzialità o performance del personale soggetto a selezione dall’azienda manifatturiera;
Esempio 2: la geolocalizzazione continua dei veicoli per un gestore di autonoleggio risponde a ben altra logica di gestione (disponibilità di vetture in un dato punto di ritiro) rispetto alla azienda che ha necessità di conoscere i tempi di spostamento e rientro dei propri dipendenti.
(SU) LARGA SCALA
Quello di “larga scala” risulta essere un concetto poco approfondito dalla normativa e lo stesso Gruppo chiamato alla scrittura di linee guida indica nella esperienza futura l’identificazione di standard di riferimento; il considerando 91 offre un riferimento laddove definisce il termine in maniera indiretta, quando recita: “…
trattamenti su larga scala che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale …”.
L’orientamento del WP243 suggerisce di porre attenzione alla osservazione di parametri del tipo:
- numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
- il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
- la durata, ovvero la persistenza, dell’attività di trattamento;
- la portata geografica dell’attività di trattamento.
Si potrebbe dire che il concetto debba sposare criteri di pervasività del trattamento e potenzialità delle informazioni desumibili dal trattamento stesso.
adeguamento GDPR
CONSIDERAZIONI FINALI
A questo punto, si rende evidente come la scelta circa la nomina (o meno) del DPO debba conseguire ad un’analisi attenta dei processi aziendali e di trattamento dei dati e che un medesimo trattamento possa determinare o meno - in due soggetti diversi – l’obbligo alla nomina.
Quanto sopra può accadere anche nella catena di servizio del medesimo trattamento, tra Titolare e Responsabile di trattamento come nel caso in cui la piccola azienda manifatturiera Alfa affidi il servizio di prenotazioni, acquisti e consegna ad Amazon! Evidentemente il trattamento dei dati personali di Amazon (responsabile di trattamento) che comporta monitoraggio regolare e sistematico su larga scala di una evidente ampia popolazione, comporta la nomina del DPO mentre per Alfa potrebbe non essere obbligata alla nomina del proprio.
adeguamento GDPR
RACCOMANDAZIONE
Anche nel caso non si nomini un DPO si consiglia di documentare la scelta, così dando evidenza del processo valutativo di verifica che dimostri la non applicabilità della norma.
Per ogni dubbio od evenienza futura, contattaci.