Il Regolamento (UE) 2016/679 del 27 aprile 2016, più noto con l’acronimo inglese GDPR, oltre a prevedere un nuovo quadro giuridico in materia di data protection, fondato sul concetto anglosassone di accountability del Titolare, nonché un approccio basato sul rischio, ha introdotto una nuova figura, finora sconosciuta nel nostro ordinamento giuridico, il Data protection officer (DPO) o, all’italiana, Responsabile della protezione dei dati (RPD).
Chi è il DPO?
Ecco in estrema sintesi chi è il DPO. Il data protection office è colui che, forte di competenze specialistiche, si occupa di verificare la normativa e la prassi riguardo alla protezione dei dati personali. Agli skill sulla legislazione e sulle best practice inerenti alla gestione dei dati personali, il DPO deve abbinare competenze informatiche.
Cosa fa il data protection officer
I compiti del DPO si articolano su 4 fronti: fornire consulenza al titolare e al responsabile del trattamento, vigilare sull’applicazione del Regolamento, fornire pareri e cooperare con il Garante.
Si tratta di una figura che riferisce direttamente ai vertici gerarchici in modo da tenerli informati su indicazioni e raccomandazioni relative alla data privacy.
Come si diventa un DPO
Non ci sono diplomi o lauree specifiche in quest’ambito, né certificazioni ad hoc.
Per diventare data protection officer, secondo quanto dichiarato da Matteo Colombo, presidente di Asso DPO, contano le conoscenze giuridiche, gli skill informatici e, in generale, lo studio delle normative sulla tutela dei dati sia nazionali sia internazionali.
Per accumulare queste conoscenze può quindi essere utile un titolo di studio conseguito in ambito giuridico oppure tecnico e poi possono essere molto utili corsi di formazione ad hoc.
Avere esperienze lavorative nel settore privacy è un requisito molto importante.
Stipendio: ecco in media quanto guadagna un Data protection officer in Italia
Secondo una ricerca neuvoo, lo stipendio di un Data protection officer può arrivare, nel nostro Paese, ai 70mila euro annui. Più nello specifico, una figura professionale laureata in materie quali Ingegneria gestionale, Economia Aziendale e Giurisprudenza e che poi si sia specializzata in questo ambito può percepire tra i 49mila e, in grandi multinazionali private addirittura sfiorare i 100mila.
Quando è obbligatoria la nomina del DPO, secondo il GDPR
Chi deve avere un DPO in azienda? La designazione del data protecion officer, ai sensi dell’art. 37, primo paragrafo, del GDPR, è obbligatoria in tre ipotesi:
- se il trattamento di dati personali è effettuato da un’autorità pubblica o da un organismo pubblico,
- quando le attività principali dell’organizzazione consistono in trattamenti che, richiedono il “monitoraggio regolare e sistematico” degli interessati “su larga scala”;
- quando le attività principali dell’organizzazione consistono nel trattamento “su larga scala” di dati “sensibili” (rectius, “categorie particolari di dati”) o “giudiziari” (rectius, “dati personali relativi a condanne penali e reati”).
Importanti indicazioni sui generici e indeterminati termini e criteri utilizzati nel GDPR (come ad esempio quello di “larga scala”) sono state fornite dal Gruppo di Lavoro articolo 29 in materia di protezione dei dati personali (di seguito, WP29), nelle «Linee Guida sui responsabili della protezione dei dati (RPD)» (in inglese, «Guidelines on Data Protection Officers («DPOs»), che non consentono però di fugare tutti i dubbi interpretativi [1].
Il WP29 è oggi sostituito dallo European Data Protection Board “Edpb” (comitato europeo per la protezione dei dati) che è un organismo UE indipendente, che aiuta nell’applicazione coerente delle norme sulla privacy nel Continente e promuove la cooperazione tra le autorità per la protezione dei dati dell’UE.
Ma esaminiamo nel dettaglio le tre ipotesi.
Trattamento svolto da un’Autorità pubblica o organismo pubblico
Il Regolamento non definisce cosa costituisce “autorità pubblica” o “organismo pubblico”.
Tale definizione deve essere determinata in base al diritto nazionale. Di conseguenza, la nozione ricomprende non solo autorità nazionali, regionali e locali (amministrazioni dello Stato, anche con ordinamento autonomo, enti pubblici non economici nazionali, regionali e locali, Regioni e enti locali, le università, Camere di commercio, industria, artigianato e agricoltura, aziende del Servizio sanitario nazionale, autorità indipendenti ecc.), ma anche, a seconda del diritto nazionale applicabile, tutta una serie di “altri organismi” di diritto pubblico.
Ma cosa si intende nel nostro ordinamento per “organismo di diritto pubblico”?
Ai sensi dell’art. 3, co. 1, lett. d) del D.lgs. 50/2016 (c.d. Nuovo Codice degli Appalti), per “organismo di diritto pubblico” si intende “qualsiasi organismo, anche in forma societaria:
- istituito per soddisfare specificatamente esigenze di interesse generale, aventi carattere non industriale o commerciale;
- dotato di personalità giuridica;
- la cui attività sia finanziata in modo maggioritario dallo Stato, dagli enti pubblici territoriali o da altri organismi di diritto pubblico oppure la cui gestione sia soggetta al controllo di questi ultimi oppure il cui organo d’amministrazione, di direzione o di vigilanza sia costituito da membri dei quali più della metà è designata dallo Stato, dagli enti pubblici territoriali o da altri organismi di diritto pubblico”.
Ciò significa che, come già precisato dalla Suprema Corte (Cass. SS.UU. sent. n. 24722/2008), laddove sia volta a soddisfare bisogni pubblici, anche una società per azioni (quindi dotata di personalità giuridica) interamente controllata da un ente pubblico territoriale (come la Viareggio Porto S.p.A., società per azioni interamente controllata dal Comune di Viareggio), deve ricondursi nel novero degli organismi di diritto pubblico. E ciò in quanto può avere sostanza di diritto pubblico anche un organismo che rivesta forma di diritto privato: ciò che rileva, infatti, non è la veste giuridica, bensì “l’effettiva realtà interna dell’ente e la sua preordinazione al soddisfacimento di un certo tipo di bisogni, cui anche le imprese a struttura societaria sono in grado di provvedere”.
A parere di chi scrive, pertanto, i concessionari di pubblici servizi (in settori quali i trasporti pubblici, le forniture idriche ed elettriche, le infrastrutture stradali, le emittenti radiotelevisive pubbliche, gli ordini professionali, etc.), in base al diritto nazionale, dovrebbero essere qualificati quali “organismo pubblici” e, di conseguenza, ai sensi dell’art. 37, par. 1, lett. a) del GDPR, sarebbero tenuti a nominare un DPO.
Senonché tale conclusione non è perfettamente in linea con la posizione espressa, a livello europeo, dal WP29, espressamente riportata anche di recente dal nostro Garante, nelle Nuove FAQ sul Responsabile della Protezione dei dati (RDP) in ambito pubblico (in aggiunta a quelle adottate dal Gruppo Art. 29). L’organismo europeo, infatti, pur rinviando al diritto dei singoli Stati membri per la determinazione della nozione di “organismo pubblico”, ritiene che la nomina del DPO non sia obbligatoria nei casi in cui una funzione pubblica è svolta da soggetti privati, come i concessionari di pubblici servizi, ma solo altamente raccomandata in termini di good practice [2].
Tenendo però conto che le Linee Guida sul Data protection officer forniscono utili chiarimenti, ma non sono sufficienti a dissipare tutti i quesiti interpretativi – in attesa di standard comuni utili a specificare in termini oggettivi e quantitativi i casi di obbligatorietà del DPO – sembra oltremodo opportuno, a livello cautelativo, sulla base della qualificazione di organismo di diritto pubblico effettuata nel nostro ordinamento, che non solo le autorità nazionali, regionali e locali sopra indicate, ma anche i concessionari di pubblici servizi nominino un Data protecion officer, a prescindere dalla possibile sussistenza di uno degli altri requisiti di obbligatorietà di seguito illustrati.
Attività principali che consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico di interessati su larga scala
Attività principali (“core activities”)
Il considerando 97 precisa che, nel settore privato, le “attività principali” di un’impresa riguardano le sue “attività primarie” e non comprendono i casi in cui il “trattamento dei dati personali” è solo un’“attività accessoria”. Con “attività principali” si possono, quindi, intendere le operazioni essenziali necessarie al raggiungimento degli obiettivi perseguiti dall’azienda.
Il Wp29 precisava che, tuttavia, l’espressione “attività principali” non va interpretata nel senso di escludere quei casi in cui il trattamento di dati, pur non costituendo attività principale, costituisce comunque una componente inscindibile dalle attività svolte. Ad esempio, l’attività principale di un ospedale è quella di prestare di assistenza sanitaria, ma non sarebbe possibile svolgerla nel rispetto della sicurezza e in modo efficace senza trattare dati relativi alla salute, come quelli contenuti nella cartella sanitaria di un paziente.
Ne deriva che il trattamento di tali informazioni deve essere annoverato fra le attività principali di qualsiasi ospedale. Lo stesso dicasi per un’impresa di sicurezza privata incaricata della sorveglianza di più centri commerciali e aree pubbliche. L’attività principale dell’impresa consiste nella sorveglianza, ma questa, a sua volta, è legata in modo inscindibile al trattamento di dati personali. Ciò comporta che gli ospedali e le imprese di sorveglianza come quella prima descritta, secondo il WP29, sono tenuti a nominare un Data protection officer.
Attività quali il pagamento delle retribuzioni al personale o la predisposizione di strutture standard di supporto informatico, invece, pur essendo necessarie o essenziali, sono considerate solitamente accessorie e non “core activities”.
Monitoraggio regolare e sistematico
Il concetto di ‘monitoraggio regolare e sistematico’ degli interessati non è definito all’interno del GDPR. Tuttavia, il considerando 24 menziona il “monitoraggio del comportamento degli interessati” ricomprendendovi senza dubbio tutte le forme di tracciamento e profilazione su Internet, anche se, precisa il WP29, il tracciamento online va considerato solo uno dei possibili esempi di monitoraggio del comportamento degli interessati.
Sempre secondo il WP29, l’aggettivo “regolare” ha almeno uno dei seguenti significati:
- che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito;
- ricorrente o ripetuto a intervalli costanti;
- che avviene in modo costante o a intervalli periodici.
L’aggettivo “sistematico” ha almeno uno dei seguenti significati:
- che avviene per sistema;
- predeterminato, organizzato o metodico;
- che ha luogo nell’ambito di un progetto complessivo di raccolta di dati;
- svolto nell’ambito di una strategia.
Alcuni esempi di attività che possono configurare un monitoraggio regolare e sistematico di interessati secondo quanto stabilito dal WP29, fra gli altri, sono:
- la gestione di una rete di telecomunicazioni,
- la prestazione di servizi di telecomunicazioni;
- il reindirizzamento di messaggi di posta elettronica (email retargeting);
- attività di marketing basate sull’analisi dei dati raccolti;
- profilazione e scoring per finalità di valutazione del rischio (per esempio, a fini di valutazione del rischio creditizio, definizione dei premi assicurativi, prevenzione delle frodi, accertamento di forme di riciclaggio);
- tracciamento dell’ubicazione, ad esempio da parte di app su dispositivi mobili
- programmi di fidelizzazione;
- pubblicità comportamentale;
- monitoraggio di dati relativi allo stato di benessere psicofisico, alla forma fisica e alla salute attraverso dispositivi indossabili;
- utilizzo di telecamere a circuito chiuso;
- dispositivi connessi quali contatori intelligenti, automobili intelligenti, dispositivi per la domotica, etc.
Larga scala
Nel Regolamento non si rinviene nemmeno una definizione di trattamento “su larga scala”. Il considerando 91 fornisce alcune indicazioni, ritenendo su larga scala trattamenti “di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato” e precisando che, d’altra parte, “non dovrebbe essere considerato un trattamento su larga scala” il trattamento di “dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato” [3].
Lo stesso WP29 mette in rilievo che si tratta comunque di esemplificazioni ai due estremi della scala (trattamento svolto dal singolo medico/trattamento di dati relativi a un’intera nazione o a livello europeo) e che fra tali estremi si colloca un’ampia zona grigia. Non esistendo, al momento, standard utili a specificare il concetto e le relative soglie applicabili, il WP29 raccomanda di tenere conto dei seguenti fattori al fine di stabilire se un trattamento sia effettuato su larga scala:
- il numero di soggetti interessati, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
- il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
- la durata, ovvero la persistenza, dell’attività di trattamento;
- la portata geografica dell’attività di trattamento.
Esemplificazioni di trattamento su larga scala, sono, a titolo non esaustivo, i trattamenti di dati relativi:
- a pazienti svolto da un ospedale nell’ambito delle sue ordinarie attività;
- agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio);
- dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food;
- alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività;
- dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale;
- trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici.
In virtù di quanto sopra, per verificare se sono o meno soggette all’obbligo di nominare un Data protection officer ai sensi dell’art. 37, par. 1, lett. b), le imprese dovranno valutare:
- se le attività di trattamento dalle stesse effettuate, per loro natura, ambito di applicazione e/o finalità, richiedono un “monitoraggio regolare e sistematico” degli interessati;
- in caso affermativo, se tale monitoraggio è effettuato “su larga scala”;
- se tale monitoraggio si può considerare “attività principale”.
Vediamo come applicare questi criteri (vaghi e indeterminati, come abbiamo detto) in concreto con un esempio pratico: una multiutility nei settori idrico, energetico e gas con diversi milioni di utenti in svariati comuni di alcune regioni italiane, monitora in maniera costante e regolare i consumi dei propri utenti, consente loro di effettuare l’autolettura a distanza, in automatico, dei consumi di acqua, luce, gas e fornisce servizi web di analisi dei consumi.
A prescindere dall’applicabilità del criterio di cui all’art. 37, primo paragrafo, lett. a), è sostenibile che tale società effettui un’attività di monitoraggio degli interessati in maniera regolare e sistematica in base all’interpretazione di tali aggettivi fornita dal WP29 e che il trattamento di dati dalla stessa effettuato, dato il numero di soggetti coinvolti, la quantità di dati trattati, la durata e l’estensione geografica delle attività di trattamento, si possa anche considerare, ai sensi del considerando 91, un trattamento di “una notevole quantità di dati personali a livello regionale” e, quindi, su “larga scala”.
Per quanto concerne l’ultima caratteristica, l’“attività principale” svolta da tale società non è il trattamento dei dati personali dei propri utenti, ma la fornitura di servizi pubblici. Bisogna quindi valutare se sia possibile erogare efficacemente tale servizi senza trattare dati personali. Fra gli esempi riportati dal WP29 non è ricompresa espressamente l’ipotesi di società che forniscono un tale tipo di servizi, ma non si può escludere che la rilevazione costante dei consumi possa essere ritenuta necessaria per erogare tali servizi o legata in modo inscindibile all’attività principale della società. Appare opportuno, pertanto, che tale società nomini un DPO.
Trattamento “su larga scala” di categorie particolari di dati o di dati relativi a condanne penali e a reati
La nomina del Data protection officer è obbligatoria anche nel caso in cui le attività principali di un organizzazione consistono nel trattamento, su larga scala, di “categorie particolari di dati” ai sensi dell’art. 9 del GDPR (e cioè dati personali idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona) o di “dati relativi a condanne penali e a reati” ai sensi dell’art. 10 del GDPR, considerati dall’ordinamento meritevoli di maggior tutela.
La nomina volontaria del Data Protection Officer
Si segnala che è incoraggiata comunque la nomina del Data protection officer, anche quando il GDPR non la richiede espressamente.
In caso di designazione di un DPO su base volontaria, si applicheranno gli stessi requisiti previsti dal GDPR sulla sua designazione, ruolo e compiti come se la nomina fosse obbligatoria.
Inoltre, un ente che non è obbligato a nominare il Data protection officer e non desidera nemmeno farlo su basi volontarie, può comunque utilizzare staff o consulenti esterni con compiti relativi al trattamento dei dati personali. Questi, per evitare confusione, non devono però essere qualificati come DPO.
Note
[1] Se ne rende conto lo stesso WP29, che auspica lo sviluppo di standard practice (a cui intende contribuire, anche condividendo e Anteprima modifiche (si apre in una nuova finestra)pubblicizzando esempi delle soglie applicabili) che identifichino più specificamente cosa debba intendersi per larga scala.
[2] Secondo il WP29 in tali casi la situazione in cui versano gli interessati è molto simile a quella in cui il trattamento è svolto da un’autorità pubblica o da un organismo pubblico (i dati sono trattati per finalità simili e spesso il singolo in tali situazioni ha, in modo analogo, un margine esiguo o nullo rispetto alla possibilità di decidere se e come possano essere trattati i propri dati personali, richiedendo l’ulteriore tutela offerta dalla nomina di un Data protection officer).
[3] Tale considerando si riferisce però non al DPO, ma alle valutazioni di impatto sulla protezione dei dati; quindi, come messo in rilevo dal WP29, non tutti gli elementi citati sono necessariamente pertinenti anche alla nomina di un Data protection officer negli stessi identici termini.
