In data 16 dicembre 2016 il Working Party Article 29 ha adottato il documento “Guidelines on Data Protection Officers (‘DPOs’)”. Il documento è finalizzato a chiarire i principali adempimenti prescritti dal GDPR (il Regolamento UE 2016/679) nei confronti di titolari e responsabili del trattamento sul tema del “Responsabile della protezione dei dati personali” (in inglese “Data Protection Officer” o, per brevità, “DPO”). Il DPO è una figura che il GDPR (all’articolo 37) prevede come necessaria per:
-enti pubblici (indifferentemente da quali dati personali trattino);
-titolari e responsabili del trattamento che come attività principale effettuino monitoraggio regolare e sistematico degli interessati su larga scala;
-titolari e responsabili del trattamento che come attività principale effettuino su larga scala il trattamento di categorie particolari di dati personali (i meglio conosciuti “dati sensibili”) o di dati relativi a condanne penali e a reati.
Il Working Party ha formulato le seguenti considerazioni in merito alla terminologia utilizzata nel GDPR per definire i casi in cui il DPO deve essere necessariamente designato.
Enti pubblici: le guidelines raccomandano a soggetti privati che svolgono compiti tipici di un ente pubblico o che esercitano una pubblica autorità di designare il proprio DPO.
Attività principale: le guidelines specificano che il concetto non deve essere usato per escludere l’applicazione dell’obbligo a trattamenti di dati personali che siano parte inscindibile di attività principali (ad es. se per un ospedale l’attività principale è erogare servizi di diagnosi e cura, per svolgere i quali è indispensabile la costituzione di basi dati, il trattamento di dati dovrà essere considerato “attività principale”). Per contro invece se la gestione dei dati del personale è connaturata alla gestione delle risorse umane, attività “ancillare” all’attività principale di una manifattura, la designazione del DPO non sarà obbligatoria.
Larga scala: le guidelines raccomandano di considerare i seguenti fattori nel valutare se il trattamento è su “larga scala”: numero degli interessati (sia in senso assoluto, sia in rapporto alla popolazione); volume dei dati o numero di categorie di dati; durata o continuità del trattamento; estensione geografica delle attività di trattamento. Quali esempi di “larga scala” viene indicato: il trattamento di dati nella ordinaria gestione di un ospedale, il trattamento dei dati di viaggio di utenti del trasporto pubblico, il trattamento di dati geolocalizzati per erogare servizi, il trattamento di dati di clienti da parte di banche e assicurazioni, il trattamento dati per profilare gli utenti di un sito web.
Monitoraggio regolare e sistematico: le guidelines chiariscono che il concetto di monitoraggio non si limita all’analisi del comportamento sul web. Per il Working Party “regolare” significa: continuo, periodicamente programmato, ripetitivo, ricorrente con periodicità. Per il Working party “sistematico” significa: impostato per sistema, organizzato, predefinito, programmato, parte di un progetto. Tra gli esempi di “monitoraggio regolare e sistematico” viene indicato: il trattamento nella gestione di telecomunicazioni, il trattamento per scoring di debitori, il trattamento per controlli antiriciclaggio e antifrode, il trattamento per videosorveglianza, il trattamento nell’ambito dell’internet delle cose.
Nei casi in cui non sia evidente l’assenza dell’obbligo di designazione, le guidelines raccomandano di redigere una analisi per giustificare le scelte operate. Poiché il DPO può essere designato anche su base volontaria; le guidelines raccomandano di assicurarsi in tali condizioni che:
-non si crei confusione attribuendo la denominazione di DPO e soggetti che non lo sono,
-siano rispettate, qualora si intenda effettivamente procedere alla designazione di DPO, le medesime prescrizioni applicabili ai casi previsti come mandatori.