In questo articolo approfondiremo la figura del Privacy Officer nel GDPR, con particolare riferimento ai casi in cui è obbligatoria la nomina.
Il Privacy Officer nel GDPR: chi è?
In primo luogo, si ritiene opportuno spendere alcune parole sulla funzione del Privacy Officer nel quadro del nuovo regolamento generale sulla protezione dei dati personali che, come noto, sarà definitivamente applicabile dal prossimo 25 maggio 2018.
Il Privacy Officer (anche noto con l’acronimo “DPO” – Data Protection Officer) o Responsabile per la protezione dei dati personali è una figura specialistica, che dovrebbe supervisionare le operazioni di trattamento compiute da titolari e responsabili del trattamento e di fungere da punto di contatto tra questi ultimi e le autorità di controllo nazionali (nel nostro caso, il Garante per la protezione dei dati personali).
Tra le numerose funzioni previste dal GDPR, il Privacy Officer, ai sensi dell’art. 39 del citato Regolamento, è tenuto a verificare l’osservanza della normativa in tema di protezione dei dati personali e, quindi, sostanzialmente ad agire come un supervisore sui trattamenti effettuati dal Titolare o dal Responsabile del trattamento, effettuando nei loro confronti una continua attività di informazione, consulenza e indirizzo.
Il Privacy Officer nel GDPR: quando deve essere nominato?
L’obbligo di nomina del Privacy Officer è una delle questioni più delicate del Regolamento. Dobbiamo, infatti, precisare che il GDPR da un punto di vista concettuale è molto diverso dal nostro Codice della Privacy.
Il principio generale alla base del Regolamento Europeo è quello dell’autoresponsabilità, ossia dell’accountability.
In altre parole, il GDPR – a differenza del nostro Codice – non individua prescrizioni specifiche, ma individua delle finalità che devono essere perseguite dal Titolare e dai Responsabili del trattamento, attraverso i mezzi da loro ritenuti più opportuni.
Facciamo un esempio. Tutti sappiamo che il nostro Codice prevede, nello specifico, delle misure minime di sicurezza (cfr. Allegato B), la cui adozione costituisce condizione sufficiente per accertare il rispetto della normativa. Il GDPR, al contrario, impone a Titolare e Responsabile di adottare non uno specifico set di misure di sicurezza, bensì le misure di sicurezza adeguate ai rischi del trattamento e al relativo contesto.
Ecco, quindi, l’autoresponsabilità: valutare i rischi, prendere una decisione motivata e conservare traccia scritta del percorso logico seguito.
La questione assume rilevanza anche in relazione all’obbligo di nomina del DPO.
In base all’art. 37, primo paragrafo del GDPR, infatti, la nomina del Privacy Officer è obbligatoria in tre casi specifici:
- se il trattamento è svolto da una autorità pubblica o da un organismo pubblico;
- se le attività principali del Titolare o del Responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
- se le attività principali del Titolare o del Responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.
Prima di esaminare nel dettaglio le tre ipotesi sopra descritte, sembra opportuno precisare la nozione di “Attività principali” (che ci risulterà utile sia per esaminare il caso n. 2 e il n. 3). Il Gruppo dei Garanti Europei (cd. WP29), nelle linee guida di aprile 2017 sull’obbligo di nomina del DPO, ha fornito una propria lettura del concetto di “Attività principali” di cui occorre tenere conto. In particolare, tale espressione andrebbe – ad avviso del WP29 – riferita a tutti i casi in cui il trattamento di dati costituisce una componente inscindibile delle attività svolte dal Titolare o dal Responsabile.
Il trattamento dei dati rappresenta una componente inscindibile quando il servizio del Titolare non potrebbe essere reso senza effettuare l’operazione di trattamento.
Ovviamente, si tratta sempre di effettuare una valutazione case by case.
Ad esempio, un ospedale per erogare i propri servizi deve effettuare il trattamento di dati sanitari dei pazienti. In questo caso, il trattamento è essenziale e può essere annoverato tra le “attività principali”.
Viceversa, la semplice gestione amministrativa delle posizioni dei dipendenti per un’azienda che produce ceramiche costituisce sì un’attività rilevante, ma non al punto da essere considerata imprescindibile per l’erogazione dei prodotti/servizi “core”. Si parlerà qui di attività accessorie e non di attività principali.
Le autorità e gli organismi pubblici
Il Regolamento non contiene una definizione di autorità pubblica o organismo pubblico. Al riguardo, il Gruppo dei Garanti Europei, raccomanda, in termini di buone prassi, la nomina di un Privacy Officer, in tutti i casi in cui funzioni pubbliche o pubblici poteri siano esercitati da soggetti privati (es. il settore dei trasporti, le forniture idriche ed elettriche ecc.).
Il caso del “monitoraggio regolare e sistematico di interessati su larga scala“
Il concetto di monitoraggio regolare e sistematico non trova espressa definizione nel GDPR.
In primo luogo, occorre, intendersi sul significato da attribuire al termine monitoraggio. Il Gruppo dei Garanti Europei, al riguardo, vi ricomprende tutte le forme di tracciamento e profilazione su internet, anche per finalità di pubblicità comportamentale.
Sempre il Gruppo dei Garanti Europei ha ritenuto che:
- per regolare deve intendersi un’attività che, sostanzialmente, può svolgersi in forma continuativa, ad intervalli definiti, ricorrente o ad intervalli periodici;
- per sistematico deve sottolinearsi la predeterminazione dell’esercizio dell’attività (es. metodica o svolta nell’ambito di una strategia).
Da ultimo, occorre esaminare la nozione di “larga scala” (che ha creato non poche perplessità per i commentatori del Regolamento). Anche in questo caso, il Regolamento non offre alcuna definizione di “larga scala”, pur costituendo il presupposto normativo per l’insorgenza dell’obbligo di nomina del Privacy Officer.
Il GDPR si limita ad individuare, nel considerando 91, alcuni esempi di trattamenti che sicuramente non configurano trattamenti su larga scala: trattamenti di dati personali da parte di un singolo medico o di un singolo avvocato.
Il Gruppo dei Garanti Europei, preso atto della situazione, ha provato a fornire alcuni criteri guida:
- numero dei soggetti interessati dal trattamento;
- la portata geografica dell’attività di trattamento;
- la durata ovvero la persistenza dell’attività di trattamento;
- il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento.
Tuttavia, appare chiaro che dovranno essere le autorità nazionali a fornire alcune linee guida in materia e, sino a tale momento, saranno i singoli Titolari e Responsabili a dover decidere se un trattamento sia su larga scala o meno.
In applicazione del principio di autoresponsabilità, dovrà essere valutato se, alla luce dei criteri guida indicati dal WP29, un determinato trattamento non avvenga su larga scala e non sussista, pertanto, l’obbligo di nomina del DPO. Tale valutazione dovrebbe essere adeguatamente documentata.
Tornando al punto da cui siamo partiti, ossia la nozione di “monitoraggio regolare e sistematico di interessati su larga scala” il WP29 ha fornito alcuni esempi che sicuramente dovranno essere tenuti in considerazione dagli operatori della privacy:
- il tracciamento dell’ubicazione, per esempio da parte di app su dispositivi mobili;
- programmi di fidelizzazione;
- monitoraggio di dati relativi allo stato di benessere psicofisico, alla forma fisica e alla salute attraverso dispositivi indossabili.
Da un certo punto di vista, proprio le imprese che svilupperanno servizi innovativi (basti pensare alle numerose imprese che offrono servizi basati sull’analisi di elevate quantità di dati), potrebbero, con ogni probabilità, essere soggette all’obbligo di nomina del Privacy Officer.
Il caso del “trattamento su larga scala di categorie particolari di dati e dati relativi a condanne penali e a reati”
In questo caso, occorre precisare la nozione di categorie particolari di dati che, nell’impianto del GDPR, ha un ambito di estensione superiore rispetto ai nostri dati sensibili (in quanto ricomprende anche i dati biometrici, i dati sulla salute).
Privacy Officer nel GDPR: quali rischi?
Abbiamo visto come nell’impianto complessivo del GDPR la nomina del DPO sia, sostanzialmente, ancorata a singole valutazioni del Titolare o del Responsabile, piuttosto che a precise disposizioni normative.
Alla luce di ciò, è assai probabile che molte imprese, ritenendo di non ricadere all’interno delle ipotesi sopra descritte, non provvedano a nominare il Privacy Officer.
In questo caso, occorre prestare una particolare attenzione. L’art. 83 del Regolamento Europeo, al paragrafo 4, lett. a), sanziona la violazione degli obblighi gravanti sul Titolare e sul Responsabile del trattamento in tema di nomina del DPO (in quanto si richiamano gli obblighi di cui all’art. 37) con una sanzione amministrativa pecuniaria fino a 10.000.000 Euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo, se superiore.
Tradotto in parole povere, l’eventuale decisione di non provvedere alla nomina del DPO dovrà essere il frutto di un’attenta valutazione del contesto e dei rischi del trattamento e dovrà essere adeguatamente motivata e documentata (in modo che, in caso di ispezione dell’Autorità di Controllo si riesca a dimostrare la correttezza dell’operato del soggetto ispezionato).
Per concludere questo breve intervento sulla nomina del Privacy Officer nel GDPR, vorrei nuovamente stressare l’accento sul concetto di autoresponsabilità. Avremo modo di vedere nei nostri ulteriori interventi sul nuovo Regolamento Europeo come, per una corretta applicazione della nuova normativa, sia necessario, prima di tutto, un forte mutamento dell’approccio alla privacy.