DPO per le aziende. Quando è necessario

Reading Time: 3 minutes

DPO per le aziende: quando è necessaria la nomina

Dpo per le aziende. Secondo l’art. 37 del Regolamento (UE) 2016/679, sono tenuti alla designazione del DPO ovvero del responsabile della protezione dei dati personali quando ricorrono i presupposti stabiliti dalle lettere b) e c) del suddetto articolo, ovvero: 

DPO per le aziende. Presupposti

  • le attività principali consistono in trattamenti che richiedono un monitoraggio regolare e sistematico degli interessati su larga scala 

  • le attività principali consistono in trattamenti su larga scala di categorie particolari (quelli cosiddetti sensibili) di dati personali o “ipersensibili”  es. dati relativi a condanne penali e a reati

In altri termini, si tratta di soggetti le cui attività di “core business” consistono in trattamenti caratterizzati dai presupposti sopra indicati. 

Come stabilire se il trattamento sia effettuato in larga scala?

A tal proposito, intervengono sia il considerando 91 del GDPR che il gruppo di lavoro nelle Linee Guida n. 243 del 13.12.2016, sul Responsabile della protezione dei dati.

Le linee guida forniscono un elencazione di fattori al fine di stabilire se un trattamento sia effettuato su larga scala:

Dpo per le aziende. Fattori

  • il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;

  • il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;

  • la durata, ovvero la persistenza, dell’attività di trattamento;

  • la portata geografica dell’attività di trattamento.

Alcuni esempi di trattamento su larga scala sono i seguenti:

  • trattamento di dati relativi a pazienti svolto da un ospedale nell’ambito delle ordinarie attività;

  • trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio);

  • trattamento di dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile del trattamento specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food;

  • trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività;

  • trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale;

  • trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici.

Dpo per le aziende. Cosa si intende per monitoraggio regolare e sistematico?

Utili sono le indicazioni fornite dal Gruppo di lavoro il quale chiarisce che si intende regolare il monitoraggio che:

  • avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito;

  • ricorrente o ripetuto a intervalli costanti;

  • avviene in modo costante o a intervalli periodici.

Passiamo all’aggettivo “sistematico” cioè:

  • che avviene per sistema;

  • predeterminato, organizzato o metodico;

  • che ha luogo nell’ambito di un progetto complessivo di raccolta di dati;

  • svolto nell’ambito di una strategia.

Ecco un’elencazione (esemplificativa e non esaustiva!) dei soggetti privati tenuti alla designazione del DPO:

istituti di credito; imprese assicurative;  sistemi di informazione creditizia;  società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

Cosa fare in mancanza dei presupposti? In mancanza dei presupposti stabilite dalle lettere b) e c) dell’art. 37 del GDPR,  la designazione del responsabile della Protezione dei Dati non è obbligatoria. 

Tuttavia, in virtù del principio di “accountability”, la designazione di tale figura, resta raccomandata.

Nel caso di un gruppo imprenditoriale, il GDPR prevede la possibilità di designare un unico responsabile della protezione dei dati personali, purché tale responsabile:

Requisiti

  • sia facilmente raggiungibile da ciascuno stabilimento
  • sia in grado di comunicare in modo efficace con gli interessati e 
  • sia in grado di collaborare con le autorità di controllo.

si ricorda altresì, che sulla base di quanto stabilito dal paragrafo 4 dell’art. 37, il diritto dell’Unione o degli Stati membri può prevedere ulteriori casi di designazione obbligatoria del responsabile della protezione dei dati.

Link utili:

  • Linee Guida WP29 n. 243 del 13.12.2016 

Qui per guardare la mia offerta

https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048