L’art. 37 del Regolamento Europeo Privacy (GDPR - Regolamento Privacy UE/2016/679) obbliga i titolari del trattamento e i responsabili del trattamento a designare un Data Protection Officer (DPO) nei seguenti casi:

• quando il trattamento (indipendentemente dal tipo di dati trattati) è effettuato da un soggetto appartenente alla pubblica amministrazione (eccetto i soggetti che esercitano funzioni giurisdizionali).
• quando le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala.
• quando le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di dati sensibili, genetici, giudiziari e biometrici.

In data 13 Dicembre 2016, il WP29 (Article 29 Data Protection Working Party) ha pubblicato un documento denominato “Guidelines on Data Protection Officers (DPO)” con il quale ha meglio specificato le casistiche per le quali le aziende hanno l’obbligo di designare un Data Protection Officer.

In particolare il WP29 ha chiarito che i titolari del trattamento e i responsabili del trattamento (non appartenenti alla pubblica amministrazione) sono soggetti alla nomina del Data Protection Officer (DPO) quando le operazioni chiave necessarie per raggiungere i propri obiettivi istituzionali comportano:

• il trattamento su larga scala di dati sensibili, genetici, giudiziari e biometrici
• il monitoraggio regolare e sistematico del comportamento di interessati su larga scala (es: tracciamento su internet, geolocalizzazione e profilazione per finalità di pubblicità comportamentale)

Per valutare se un trattamento possa essere considerato su larga scala è necessario fare un’accurata analisi privacy dei processi aziendali tenendo in considerazione i seguenti parametri:

• numero di interessati coinvolti
• volume e tipologia di dati trattati
• durata del trattamento
• estensione geografica del trattamento

Per valutare se un’attività di monitoraggio possa essere considerata regolare e sistematica è, invece, necessario fare un'analisi privacy tenendo in considerazione i seguenti parametri:

• durata, periodicità e ricorrenza
• sistematicità e pianificazione
• metodologia organizzativa
• strategia aziendale

L’iter di valutazione che porta alla decisione di designare o meno un Data Protection Officer (DPO) deve essere, comunque, documentato per iscritto in modo da poter dimostrare, in caso di controlli, quali elementi sono stati presi in considerazione nel processo decisionale.

Il WP29 suggerisce, inoltre, a tutte le persone fisiche o giuridiche di diritto pubblico o privato che prestano un pubblico servizio di provvedere, in ogni caso, alla designazione di un Data Protection Officer (DPO).

Tenuto conto della complessità dell’iter decisionale, infine, risulta buona prassi, anche per i soggetti non direttamente obbligati dal Regolamento Europeo Privacy, nominare sempre un Data Protection Officer, in quanto il GDPR considera il DPO, un attore chiave del sistema di gestione privacy.

La violazione degli obblighi di nomina del Data Protection Officer è sanzionata dal Regolamento Europeo Privacy con una sanzione amministrativa pecuniaria fino a € 10.000.000 o fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente (ove superiore).

Dr. Eric Falzone – Data Protection Officer Advisor – Partner EUCS

Articoli Privacy EUCS – www.eucs.it