Il data protection officer nel settore sicurezza

di Avv. Marco Soffientini, Docente Università degli Studi di Roma UnitelmaSapienza; esperto di Privacy e Diritto delle Nuove Tecnologie; Privacy Officer certified in accordo a ISO/IEC 17024:2003; Coordinatore Nazionale Comitato Scientifico Federprivacy; membro dell’Istituto Italiano per la Privacy; membro Comitato di Delibera TUV Italia per lo schema CDP e docente Ethos Academy www.academy.ethosmedia.it

In questo articolo affrontiamo la questione della nomina di un responsabile della protezione dei dati per le imprese di sorveglianza (esempio negli istituti di vigilanza). La designazione di un “responsabile della protezione dati” (RPD, ovvero DPO se si utilizza l’acronimo inglese: Data Protection Officer) riflette l’approccio responsabilizzante che è proprio del regolamento europeo sulla privacy, essendo finalizzata a facilitarne l’attuazione da parte del titolare e/o del responsabile.  

La figura è introdotta dal considerando 97 del regolamento UE 2016/679 (RGPD o GDPR nell’accezione inglese): «Per i trattamenti effettuati da un’autorità pubblica, eccettuate le autorità giurisdizionali o autorità giudiziarie indipendenti quando esercitano le loro funzioni giurisdizionali, o per i trattamenti effettuati nel settore privato da un titolare del trattamento le cui attività principali consistono in trattamenti che richiedono un monitoraggio regolare e sistematico degli interessati su larga scala, o ove le attività principali del titolare del trattamento o del responsabile del trattamento consistano nel trattamento su larga scala di categorie particolari di dati personali e di dati relativi alle condanne penali e ai reati, il titolare del trattamento o il responsabile del trattamento dovrebbe essere assistito da una persona che abbia una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati nel controllo del rispetto a livello interno del presente regolamento. Nel settore privato le attività principali del titolare del trattamento riguardano le sue attività primarie ed esulano dal trattamento dei dati personali come attività accessoria. Il livello necessario di conoscenza specialistica dovrebbe essere determinato in particolare in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento. Tali responsabili della protezione dei dati, dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente».

LINEE GUIDA DEI GARANTI EUROPEI

La figura del data protection officer è stata oggetto recentemente di linee guida adottate il 13 dicembre 2016 da parte del Gruppo dei garanti europei “Articolo 29,” (WP29) (1) attraverso le quali sono state tracciate e chiarite le caratteristiche soggettive e oggettive di questa figura (indipendenza, autorevolezza, competenze manageriali, ecc.). In base all’articolo 37, primo comma, del RGPD, la nomina di un RPD è obbligatoria in tre casi specifici: a) se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico; b) se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; oppure c) se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.

QUANDO È OBBLIGATORIO?

Tranne quando sia evidente che un soggetto non è tenuto a nominare un RPD, il WP29 raccomanda a titolari e responsabili di documentare le valutazioni compiute all’interno dell’azienda o dell’ente per stabilire se si applichi o meno l’obbligo di nomina di un RPD, così da poter dimostrare che l’analisi ha preso in esame correttamente i fattori pertinenti (2). Tale analisi fa parte della documentazione da produrre in base al principio di responsabilizzazione (vedi art. 5, comma 2 e 24, comma 1). Può essere richiesta dall’autorità di controllo e dovrebbe essere aggiornata ove necessario, per esempio se i titolari o i responsabili intraprendono nuove attività o forniscono nuovi servizi che potrebbero ricadere nel novero dei casi elencati all’art. 37, paragrafo 1. L’articolo 37, comma 1, lettere B) e C), contiene un riferimento alle “ attività principali del titolare del trattamento o del responsabile del trattamento”. Con l’espressione “attività principali” si possono intendere le operazioni essenziali che sono necessarie al raggiungimento degli obiettivi perseguiti dal titolare o dal responsabile del trattamento (3). Ecco alcuni esempi. In un ospedale, l’attività principale consiste nella prestazione di assistenza sanitaria, ma non sarebbe possibile prestare tale assistenza nel rispetto della sicurezza e in modo efficace senza trattare dati relativi alla salute, come le informazioni contenute nella cartella sanitaria di un paziente. Ne deriva che il trattamento di tali informazioni deve essere annoverato fra le attività principali di qualsiasi ospedale e che gli ospedali sono tenuti a nominare un RPD. Nel caso di un’impresa di sicurezza privata incaricata della sorveglianza di più centri commerciali e aree pubbliche, l’attività principale consiste nella sorveglianza e questa, a sua volta, è legata in modo inscindibile al trattamento di dati personali. Ne consegue che anche l’impresa in oggetto deve nominare un RPD (4). In conclusione, un’attenta e documentata analisi dell’attività principale svolta dall’impresa di sorveglianza consentirà di stabilire l’obbligatorietà o meno dell’istituzione della figura del data protection officer.

Note:

(1) WP 243 – Linee Guida sui responsabili della protezione dei dati del 13 dicembre 2016

(2) Vedi articolo 24, comma 1 GDPR 2016/679.

(3) Core activities’ can be considered as the key operations necessary to achieve the controller’s or processor’s goals (WP 243, pag. 6). Nel considerando 97 si afferma che le attività principali di un titolare del trattamento “ riguardano le sue attività primarie ed esulano dal trattamento dei dati personali come attività accessoria ”.

(4) WP 243, pagine 6-7.