Come è noto il Gruppo dei Garanti Ue ( WP 29 ) ha approvato lo scorso 13 dicembre tre documenti con indicazioni e raccomandazioni su importanti novità del Regolamento 2016/679 sulla protezione dei dati, in vista della sua applicazione da parte degli Stati membri a partire dal maggio 2018.
Le linee guida, alla cui elaborazione ha partecipato il nostro Garante riguardano il “responsabile per la protezione dei dati” (Data Protection Officer – DPO), il diritto alla portabilità dei dati, l'”autorità capofila” che fungerà da “sportello unico” per i trattamenti transnazionali.
Molto interessanti sono le linee guida sul DPO, figura questa che sta facendo molto discutere gli addetti ai lavori poiché ci sono ancora diversi dubbi sulla sua effettiva natura e competenze. Sinceramente ho la netta sensazione che si possa fare molta confusione in merito, complici anche le attività di normazione uni in corso che stanno facendo sorgere non poche perplessità per l’individuazione di diverse figure di DPO non previste, tra l’altro, in ambito comunitario.
L’art. 37 del Regolamento prevede che quando:
a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali, oppure
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, oppure
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati di cui all’articolo 9 (dati sensibili) o di dati relativi a condanne penali e a reati di cui all’articolo 10
il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati (c.d. data protection officer).
Qualora, poi, il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione.
Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai propri compiti. Tale figura, di alto livello professionale, può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure adempiere ai suoi compiti in base a un contratto di servizi e quindi può essere un libero professionista.
Il responsabile della protezione dei dati deve essere prontamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali sia dal titolare del trattamento che dal responsabile del trattamento e gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal Regolamento.
Il responsabile della protezione dei dati deve godere di ampia autonomia e non riceve alcuna istruzione per quanto riguarda l’esecuzione dei propri compiti. Inoltre il Regolamento specifica (art. 38) che il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti, ma riferisce direttamente ai massimi superiori gerarchici del titolare del trattamento o del responsabile del trattamento.
L’art. 39 del Regolamento chiarisce quali sono i compiti del responsabile della protezione dei dati:
a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
d) cooperare con l’autorità di controllo;
e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
Le linee guida specificano i requisiti soggettivi e oggettivi del DPO, la cui designazione sarà obbligatoria per tutti i soggetti pubblici e per alcuni soggetti privati sulla base di criteri che il Gruppo ha chiarito nel documento. Nel documento vengono illustrate (anche attraverso esempi concreti) le competenze professionali e le garanzie di indipendenza e inamovibilità di cui il DPO deve godere nello svolgimento delle proprie attività di indirizzo e controllo all’interno dell’organizzazione del titolare.
Come si è avuto modo di specificare il Regolamento nell’individuare i casi in cui si prevede l’obbligatorietà del DPO parla di trattamenti su larga scala, ma non fornisce una definizione di larga scala, anche se il considerando 91 dà alcune indicazioni.
Le linee guida chiariscono che non è possibile dare un numero preciso sia per quanto riguarda la quantità di dati elaborati o il numero di persone interessate, applicabile in tutte le situazioni. Ciò non esclude la possibilità, tuttavia, che nel corso del tempo, possa svilupparsi una pratica standard, per specificare in termini oggettivi e quantitativi ciò che costituisce il trattamento su larga scala di alcuni tipi di attività.
In ogni caso, il WP29 raccomanda alcuni elementi da prendere in considerazione per determinare se il trattamento è effettuato o meno su larga scala:
- il numero di persone interessate – sia come un numero specifico o come percentuale della popolazione in questione;
- il volume di dati e / o la gamma di differenti elementi di dati in elaborazione;
- la durata, o la permanenza dell’attività di elaborazione dei dati;
- l’estensione geografica dell’attività di trasformazione.
Vengono, inoltre, individuati alcuni esempi di trattamenti su larga scala come:
- l’elaborazione dei dati del paziente nel corso normale delle attività di un ospedale;
- il trattamento dei dati di viaggio di persone che utilizzano il sistema di trasporto pubblico di una città (ad esempio, il monitoraggio tramite schede di viaggio);
- l’elaborazione dei dati in tempo reale di geo-localizzazione di clienti di una catena di fast food internazionale a fini statistici da parte di un responsabile specializzato nella fornitura di questi servizi;
- il trattamento dei dati dei clienti nel normale corso di attività da una compagnia di assicurazioni o di una banca;
- il trattamento dei dati personali (profilazione) per la pubblicità di un motore di ricerca;
- il trattamento dei dati (contenuti, il traffico, la posizione) da parte dei fornitori di servizi telefonici o Internet.
Esempi, invece, che non costituiscono l’elaborazione su larga scala sono:
- il trattamento dei dati dei pazienti da parte di un singolo medico;
- il trattamento di dati personali relativi a condanne penali e reati da parte di un singolo avvocato.
Le linee guida specificano che anche la nozione di monitoraggio regolare e sistematico delle persone interessate non è definita nel Regolamento, ma il concetto di monitorare il comportamento delle persone interessate è menzionato nel considerando 24 e comprende in modo chiaro tutte le forme di monitoraggio e profilatura su internet, anche ai fini della pubblicità comportamentale.
In merito, poi, alla capacità ed alle competenze del DPO le linee guida chiariscono che il livello richiesto di competenza non è strettamente definito nel Regolamento, ma deve essere commisurato alla sensibilità, alla complessità ed alla quantità di dati dei processi organizzativi. Ad esempio, quando un trattamento è particolarmente complesso, o se comporta una grande quantità di dati sensibili, per il DPO potrebbe essere necessario un più elevato livello di competenza e di supporto. Nell’individuazione del livello di competenza richiesta bisogna anche capire se l’organizzazione trasferisce sistematicamente dati personali al di fuori dell’Unione Europea o se tali trasferimenti siano solo occasionali. Il DPO dovrebbe quindi essere scelto con cura, tenendo conto delle questioni relative alla protezione dei dati che sorgono all’interno dell’organizzazione.
Inoltre, anche se l’art. 37 del Regolamento non specifica le qualità professionali che dovrebbero essere considerate quando si designa un DPO, è chiaro che il responsabile della protezione dei dati debba avere esperienza sulla legislazione relativa alla protezione dei dati personali sia nazionale che europea, sulle prassi e possedere una conoscenza approfondita del Regolamento. Per il WP29 risulta utile che le autorità di controllo promuovano una formazione adeguata e regolare per il DPO.
Indubbiamente è utile anche la conoscenza del settore di business delle imprese e dell’organizzazione del titolare. Il DPO dovrebbe anche avere comprensione sui processi di trattamento dei dati e sulle operazioni effettuate, nonché sui sistemi informativi, sulle esigenze di sicurezza dei dati e sulla protezione dei dati del titolare.
Nel caso, poi, di un ente pubblico o di un organismo, il DPO dovrebbe anche avere una buona conoscenza delle regole e delle procedure dell’organizzazione amministrativa.
Le linee guida chiariscono anche che la capacità di soddisfare i compiti del DPO deve essere interpretata con riferimento alle sue qualità personali e di conoscenza, ma anche con riferimento alla sua posizione all’interno dell’organizzazione.
Le qualità personali dovrebbero includere, per esempio: integrità e alta etica professionale; la preoccupazione primaria del DPO dovrebbe essere di garantire la conformità al Regolamento. Il DPO deve, quindi, svolgere un ruolo fondamentale nella promozione di una cultura della protezione dei dati all’interno dell’organizzazione e deve aiutare ad implementare gli elementi essenziali del Regolamento, come ad esempio i principi di trattamento dei dati, diritti degli interessati, la protezione dei dati fin dalla progettazione e per default, la registrazione delle attività, la sicurezza dei trattamenti, la notifica e la comunicazione propria del data breach.
Tali considerazioni ci fanno capire che il DPO o responsabile della protezione dei dati rappresenta una figura chiave e principalmente di alto livello nell’ambito del trattamento automatizzato dei dati personali. Deve essere un professionista dotato anche di qualità manageriali ed organizzative in grado di suggerire al titolare o responsabile opportuni cambiamenti di carattere tecnico-organizzativo.
Riguardo le linee guida del WP29 sul diritto alla portabilità si chiarisce che l’art. 20 del Regolamento dispone che l’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti ad un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora:
a) il trattamento si basi sul consenso ai sensi dell’articolo 6, paragrafo 1, lettera a), o dell’articolo 9, paragrafo 2, lettera a), o su un contratto ai sensi dell’articolo 6, paragrafo 1, lettera b); e
b) il trattamento sia effettuato con mezzi automatizzati.
Inoltre, nell’esercitare i propri diritti relativamente alla portabilità dei dati l’interessato ha il diritto di ottenere la trasmissione diretta dei dati da un titolare del trattamento all’altro, se tecnicamente fattibile.
Tale diritto, quindi si applica qualora l’interessato abbia fornito i dati personali acconsentendo al trattamento o se il trattamento è necessario per l’esecuzione di un contratto. Non si applica, invece, qualora il trattamento si basi su un altro motivo legittimo diverso dal consenso o contratto. Per sua stessa natura, tale diritto non deve essere esercitato nei confronti dei responsabili del trattamento che trattano dati nell’esercizio delle loro funzioni pubbliche. Non deve pertanto applicarsi in particolare quando il trattamento dei dati personali è necessario per l’adempimento di un obbligo legale cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento.
Il diritto dell’interessato di trasmettere o ricevere dati personali che lo riguardano non comporta l’obbligo per i responsabili del trattamento di adottare o mantenere sistemi di trattamento dei dati tecnicamente compatibili. Qualora un certo insieme di dati personali riguardi più di un interessato, il diritto di ricevere i dati non deve pregiudicare i diritti degli altri interessati in ottemperanza del Regolamento. Tale diritto non deve altresì pregiudicare il diritto dell’interessato di ottenere la cancellazione dei dati personali e le limitazioni di tale diritto di cui al Regolamento e non deve segnatamente implicare la cancellazione dei dati personali concernenti l’interessato forniti da quest’ultimo per l’esecuzione di un contratto, nella misura in cui e finché i dati siano necessari all’esecuzione di tale contratto.
Le linee guida evidenziano l’importanza del diritto alla portabilità come strumento per l’effettiva libertà di scelta dell’utente, che potrà decidere di trasferire altrove i dati personali forniti direttamente al titolare del trattamento (piattaforma di social network, fornitore di posta elettronica etc.) oppure generati dall’utente stesso navigando o muovendosi sui siti o le piattaforme messe a sua disposizione. Il documento esamina anche gli aspetti tecnici legati soprattutto ai requisiti di interoperabilità fra i sistemi informatici e alla necessità di sviluppare applicazioni che facilitino l’esercizio del diritto.
Infine, avuto riguardo alle linee guida sui criteri per l’individuazione della “Autorità capofila” che deve fungere da “sportello unico” per i trattamenti transnazionali, indubbiamente si tratta di un documento importante che si pone l’obiettivo di aiutare i titolari o responsabili del trattamento ad individuare correttamente l’Autorità competente in questi casi così da evitare controversie e garantire un’attuazione efficace del Regolamento.
(Altalex, 3 gennaio 2017. Nota di Michele Laselli)