Riportiamo di seguito alcune precisazione relative all’obbligo di nomina del Responsabile Protezione Dati (DPO).
In base all’articolo 37, primo paragrafo, del RGPD, la nomina di un RPD è obbligatoria in tre casi specifici:
- se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;
- se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; oppure
- se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.
Il Garante Privacy per, chiarire i dettagli sulla domina del DPO, all’interno delle Faq pubblicate (https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/8036793#4) rinvia al "Linee guida sui responsabili della protezione dei dati" del 5 aprile 2017, WP 243.
Sempre il Garante Privacy precisa, per fornire alcuni esempi, che ricorrendo i riferimenti del WP243 sono tenuti alla nomina, a titolo esemplificativo e non esaustivo:
- istituti di credito;
- imprese assicurative;
- sistemi di informazione creditizia;
- società finanziarie;
- società di informazioni commerciali;
- società di revisione contabile;
- società di recupero crediti;
- istituti di vigilanza;
- partiti e movimenti politici;
- sindacati; caf e patronati;
- società operanti nel settore delle "utilities" (telecomunicazioni, distribuzione di energia elettrica o gas);
- imprese di somministrazione di lavoro e ricerca del personale;
- società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione;
- società di call center;
- società che forniscono servizi informatici;
- società che erogano servizi televisivi a pagamento.
Considerando priva di dubbi la nomina del DPO per gli enti pubblici e per le società che trattano “sistematicamente” (cioè le cui elaborazioni sono essenziali per il raggiungimento del fine sociale/aziendale) dati particolari, rimane da precisare il concetto di “monitoraggio regolare e sistematico di interessati su larga scala” per cui il WP243, sopra menzionato, riporta di seguito alcuni esempi:
- curare il funzionamento di una rete di telecomunicazioni;
- la prestazione di servizi di telecomunicazioni;
- il reindirizzamento di messaggi di posta elettronica;
- attività di marketing basate sull’analisi dei dati raccolti (marketing basato sulla profilazione);
- profilazione e scoring per finalità di valutazione del rischio (per esempio, a fini di valutazione del rischio creditizio);
- definizione dei premi assicurativi, prevenzione delle frodi, accertamento di forme di riciclaggio);
- tracciamento dell’ubicazione, per esempio da parte di app su dispositivi mobili;
- programmi di fidelizzazione;
- pubblicità comportamentale;
- monitoraggio di dati relativi allo stato di benessere psicofisico, alla forma fisica e alla salute attraverso dispositivi indossabili;
- utilizzo di telecamere a circuito chiuso;
- dispositivi connessi quali contatori intelligenti, automobili intelligenti, dispositivi per la domotica, ecc.
Secondo il parere dello scrivente il confine netto per la -non- nomina del DPO è costituita dai fattori di rischio per cui ogni Titolare del Trattamento è tenuto ad eseguire un DPIA (Valutazione d’Impatto Privacy).
E’ difficile non prevedere la nomina del DPO quando l’azienda, per via di elaborazioni considerati Ex Lege ad alto rischio per i diritti e le libertà degli Interessati, è costretta ad eseguire un DPIA.
Considerando quanto sopra specificato suggeriamo a tutti gli utenti di IusPrivacy, qualora non fatto, di completare la sezione 2 “Info Sistema” del Modello Organizzativo Privacy tab “Check List Nomina del DPO” indicando
- in caso di nomina, i motivi che l’hanno determinata;
- in caso di mancata nomina, di documentare i motivi per i quali non si è proceduto.
Ricordiamo che la mancata nomina del DPO potrebbe costituire una delle contestazioni mosse, dall’autorità di controllo (Garante e GdF), a carico del Titolare.
La mancata nomina potrebbe assumere un “peso rilevante” nel caso di potenziali Data Breach, subiti dall’azienda, per i quali, l’assenza del DPO, contribuisce ad attestare l’assenza di misure di sicurezza adeguate.