accountability - perché documentare i motivi che hanno comportato la - non nomina del responsabile protezione dati (dpo)
articoli e news

Riportiamo di seguito alcune precisazione relative all’obbligo di nomina del Responsabile Protezione Dati (DPO).

In base all’articolo 37, primo paragrafo, del RGPD, la nomina di un RPD è obbligatoria in tre casi specifici: 

  1. se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;
  2. se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; oppure
  3. se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.

Il Garante Privacy per, chiarire i dettagli sulla domina del DPO, all’interno delle Faq pubblicate (https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/8036793#4) rinvia al "Linee guida sui responsabili della protezione dei dati" del 5 aprile 2017, WP 243.

Sempre il Garante Privacy precisa, per fornire alcuni esempi, che ricorrendo i riferimenti del WP243 sono tenuti alla nomina, a titolo esemplificativo e non esaustivo:

  • istituti di credito; 
  • imprese assicurative;
  • sistemi di informazione creditizia;
  • società finanziarie;
  • società di informazioni commerciali;
  • società di revisione contabile;
  • società di recupero crediti;
  • istituti di vigilanza; 
  • partiti e movimenti politici;
  • sindacati; caf e patronati;
  • società operanti nel settore delle "utilities" (telecomunicazioni, distribuzione di energia elettrica o gas); 
  • imprese di somministrazione di lavoro e ricerca del personale;
  • società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione;
  • società di call center;
  • società che forniscono servizi informatici;
  • società che erogano servizi televisivi a pagamento.

Considerando priva di dubbi la nomina del DPO per gli enti pubblici e per le società che trattano “sistematicamente” (cioè le cui elaborazioni sono essenziali per il raggiungimento del fine sociale/aziendale) dati particolari, rimane da precisare il concetto di “monitoraggio regolare e sistematico di interessati su larga scala” per cui il WP243, sopra menzionato,  riporta di seguito alcuni esempi:

  • curare il funzionamento di una rete di telecomunicazioni;
  • la prestazione di servizi di telecomunicazioni;
  • il reindirizzamento di messaggi di posta elettronica;
  • attività di marketing basate sull’analisi dei dati raccolti (marketing basato sulla profilazione);
  • profilazione e scoring per finalità di valutazione del rischio (per esempio, a fini di valutazione del rischio creditizio);
  • definizione dei premi assicurativi, prevenzione delle frodi, accertamento di forme di riciclaggio);
  • tracciamento dell’ubicazione, per esempio da parte di app su dispositivi mobili;
  • programmi di fidelizzazione; 
  • pubblicità comportamentale;
  • monitoraggio di dati relativi allo stato di benessere psicofisico, alla forma fisica e alla salute attraverso dispositivi indossabili;
  • utilizzo di telecamere a circuito chiuso;
  • dispositivi connessi quali contatori intelligenti, automobili intelligenti, dispositivi per la domotica, ecc.

Secondo il parere dello scrivente il confine netto per la -non- nomina  del DPO è costituita dai fattori di rischio per cui ogni Titolare del Trattamento è tenuto ad eseguire un DPIA (Valutazione d’Impatto Privacy).

E’ difficile non prevedere la nomina del DPO quando l’azienda, per via di elaborazioni considerati Ex Lege ad alto rischio per i diritti e le libertà degli Interessati, è costretta ad eseguire un DPIA.

Considerando quanto sopra specificato suggeriamo a tutti gli utenti di IusPrivacy, qualora non fatto, di completare la sezione 2 “Info Sistema” del Modello Organizzativo Privacy tab “Check List Nomina del DPO” indicando

  • in caso di nomina, i motivi che l’hanno determinata;
  • in caso di mancata nomina, di documentare i motivi per i quali non si è proceduto.

Ricordiamo che la mancata nomina del DPO potrebbe costituire una delle contestazioni mosse, dall’autorità di controllo (Garante e GdF), a carico del Titolare.

La mancata nomina potrebbe assumere un “peso rilevante” nel caso di potenziali Data Breach, subiti dall’azienda, per i quali, l’assenza del DPO, contribuisce ad attestare l’assenza di misure di sicurezza adeguate.



Hai un dubbio o un problema su questo argomento?

Scrivi alla nostra redazione giuridica e ricevi la tua risposta entro 5 giorni

Non condivideremo mai la tua email con nessuno.