GDPR: i soggetti coinvolti nel trattamento dei dati personali – Parte II

Il Responsabile della Protezione dei dati Personali è una figura centrale nel sistema creato dal Regolamento Europeo per la nuova privacy.

Continuiamo il viaggio nella normativa vigente in tema di trattamento dei dati personali per definirne in maniera più precisa il perimetro di applicazione, i soggetti coinvolti, le modalità previste e alcuni aspetti particolari in funzione dei diversi ambiti di applicazione possibili.

Nella Parte I ci siamo occupati delle figure dell’interessato, del titolare e del responsabile.

Oggi prenderemo in esame:

  1. IL RESPONSABILE DELLA PROTEZIONE DEI DATI (RPD – DPO)
  2. L’AUTORIZZATO
  3. IL TERZO

Il RESPONSABILE DELLA PROTEZIONE DATI

Il Regolamento Europeo introduce nell’ordinamento nazionale l’obbligatorietà della figura del Responsabile della Protezione dei Dati (RPD), comunemente indicato come DPO dall’acronimo della definizione inglese: Data Protection Officer.

Una figura già presente negli ordinamenti di matrice anglosassone e più volte auspicata dal nostro Garante nazionale, che solo ora trova, per alcune specifiche tipologie di Titolari e/o di Trattamenti, l’obbligatorietà della nomina negli articoli 37 e seguenti del GDPR.

Il DPO è un soggetto che deve essere scelto in base alle sue qualità professionali, con particolare attenzione alla sua conoscenza specialistica della normativa e della prassi in materia di protezione dei dati e delle sue capacità di adempiere i compiti che gli sono attribuiti.

Il DPO può essere un soggetto (persona fisica o giuridica) esterno o interno all’organizzazione del Titolare o del Responsabile del trattamento ma deve, comunque, essere garantita la sua indipendenza e autonomia nell’esercizio delle sue funzioni. Il DPO, per questo, deve essere dotato da parte del Titolare o del Responsabile del trattamento delle opportune risorse organizzative, umane ed eventualmente economiche per svolgere al meglio i suoi compiti.

La sua figura, inoltre, assume particolare rilievo in quanto trait d’union tra l’Autorità Garante Nazionale, il Titolare e gli Interessati. La sua nomina, infatti, deve essere trasmessa all’Autorità Garante e resa esplicita in tutte le comunicazioni rese agli interessati.

La nomina del Responsabile della Protezione dei Dati è obbligatoria nei seguenti casi:

  • qualora il Titolare del trattamento sia una Autorità Pubblica o un Organismo Pubblico;
  • qualora le attività principali del Titolare o del Responsabile del trattamento abbiano come oggetto trattamenti di dati che richiedono il monitoraggio sistematico degli interessati su larga scala;
  • qualora le attività principali del Titolare o del Responsabile del trattamento abbiano come oggetto trattamenti su larga scala di dati “particolari” o di dati relativi a condanne penali o reati.

Nei punti precedenti alcune definizioni meritano un approfondimento; tra queste, il significato da attribuire nella pratica alla locuzione “larga scala” appare quello più interessante.

Per orientarci in questo ambito, ci sono di aiuto le osservazioni contenute nel documento “Linee guida sui responsabili della protezione dei dati” redatto dal Gruppo di lavoro articolo 29.

Infatti, all’interno del Regolamento non troviamo alcuna definizione esplicita del significato di larga scala, anche se il Considerando 91 offre un valido supporto individuando quali trattamenti su larga scala quelli che “mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato”.

Per questo il Gruppo di lavoro fornisce degli elementi utili a definire il perimetro del trattamento da effettuare al fine di valutare, o meno, la sua estensione su larga scala.

I fattori che sono indicati come imprescindibili per verificare la scala del trattamento sono:

  • il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
  • il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
  • la durata, ovvero la persistenza, dell’attività di trattamento;
  • la portata geografica dell’attività di trattamento.

Inoltre, per meglio comprendere quanto illustrato, il Gruppo di lavoro offre anche degli esempi di trattamenti che sicuramente rivestono il carattere della larga scala. Questi sono:

  • trattamento di dati relativi a pazienti svolto da un ospedale nell’ambito delle ordinarie attività;
  • trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio);
  • trattamento di dati di geo-localizzazione raccolti in tempo reale per finalità statistiche da un responsabile specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food;
  • trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività;
  • trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale;
  • trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici.

Mentre specifica che, sicuramente, non rientrano in questo ambito i trattamenti dati relativi a:

  • pazienti svolti da un singolo professionista sanitario;
  • condanne penali e reati svolti da un singolo avvocato.

I compiti del DPO sono di consulenza e assistenza al Titolare o al Responsabile del trattamento relativamente alla corretta applicazione di quanto previsto dal Regolamento UE.

In particolare, secondo quanto previsto dall’articolo 39 del Regolamento UE, il DPO deve:

  • informare e consigliare il Titolare o il Responsabile del trattamento e i dipendenti sugli obblighi previsti dalle norme in materia di protezione dei dati;
  • verificare l’attuazione e l’applicazione delle norme stesse;
  • fornire pareri in merito alla valutazione d’impatto sulla protezione dei dati e verificarne gli adempimenti;
  • essere il punto di contatto con il Garante per la protezione dei dati e anche con gli interessati al trattamento; i suoi recapiti devono essere inseriti nelle comunicazioni fornite dal Titolare o dal Responsabile del trattamento agli Interessati;
  • raccogliere informazioni per individuare i trattamenti svolti;
  • effettuare l’analisi e la verifica dei trattamenti in termini di loro conformità;
  • svolgere attività di informazione, consulenza e indirizzo nei confronti del Titolare o del Responsabile del trattamento.

L’AUTORIZZATO

La normativa nazionale precedente all’entrata in vigore del Regolamento Europeo prevedeva espressamente la figura dell’Incaricato al trattamento su esplicita nomina del Titolare o del Responsabile del trattamento. Tuttavia, nonostante la scomparsa di questa figura, il nostro ordinamento all’articolo 2-quaterdecies, paragrafo 2 del Codice della Protezione dei Dati Personali (D. Lgs. n. 196 del 30 giugno 2001), come modificato e integrato dal D. Lgs. 101/2018, prevede ancora la possibilità che il Titolare o il Responsabile del trattamento, sulla base delle rispettive organizzazioni, autorizzino al Trattamento dei dati persone che operano sotto la loro autorità diretta.

In questo caso, il Titolare e il Responsabile del trattamento assumono l’obbligo di istruire adeguatamente questi soggetti sia in termini di ordini di servizio e di specifiche istruzioni, sia in termini di formazione ai sensi di quanto previsto dagli articoli 29 e 32 del Regolamento Europeo.

Lo stesso articolo 2-quaterdieces del Codice della Protezione dei Dati Personali al paragrafo 1, prevede una figura che potremmo definire “intermedia” tra il Titolare del trattamento e l’Autorizzato che è il Soggetto Designato per specifici compiti.

Il Titolare o il Responsabile del trattamento, infatti, nell’ambito dei propri modelli organizzativi, possono attribuire a persone fisiche, espressamente designate, che operano sotto la loro autorità, specifici compiti e funzioni connessi al Trattamento dei dati personali.

IL TERZO

Il Regolamento Europeo definisce le caratteristiche di questa figura per differenza.

All’articolo 4, punto 10, infatti, stabilisce che è Terzo in ambito di Protezione dei Dati Personali, la persona fisica o la persona giuridica, l’Autorità Pubblica, il Servizio o altro Organismo che non sia l’Interessato, il Titolare del trattamento, il Responsabile del trattamento e le persone autorizzate al trattamento dei dati sotto l’autorità diretta del Titolare o del Responsabile.

Renato Carafa