Il Gruppo di lavoro raccomanda a titolari del trattamento e responsabili del trattamento di documentare le valutazioni compiute all’interno dell’azienda o dell’ente per stabilire se si applichi o meno l’obbligo di nomina di un RPD.
[…] Tale analisi fa parte della documentazione da produrre in base al principio di responsabilizzazione. Può essere richiesta dall’autorità di controllo […]
I casi di nomina obbligatoria
In base all’articolo 37, paragrafo 1, del RGPD, la nomina di un Responsabile della Protezione dei Dati (RPD) è obbligatoria in tre casi specifici:
- se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;
- se le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; oppure
- se le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.
Nelle sottosezioni che seguono, il Gruppo di lavoro “Articolo 29” (Gruppo di lavoro) fornisce indicazioni sui criteri e sulle formulazioni utilizzati all’articolo 37, paragrafo 1.
Tranne quando sia evidente che un soggetto non è tenuto a nominare un RPD, il Gruppo di lavoro raccomanda a titolari del trattamento e responsabili del trattamento di documentare le valutazioni compiute all’interno dell’azienda o dell’ente per stabilire se si applichi o meno l’obbligo di nomina di un RPD, così da poter dimostrare che l’analisi ha preso in esame correttamente i fattori pertinenti.
Nulla osta a che un’azienda o un ente, quando non sia soggetta all’obbligo di designare un RPD e non intenda procedere a tale designazione su base volontaria, ricorra comunque a personale o consulenti esterni incaricati di incombenze relative alla protezione dei dati personali.
Il RPD viene designato, su base obbligatoria o meno, per tutti i trattamenti svolti dal titolare del trattamento o dal responsabile del trattamento.
Le definizioni dei termini utilizzati
1. Autorita pubblica o organismo pubblico
Nel regolamento non si rinviene alcuna definizione di “autorità pubblica” o “organismo pubblico”. Il Gruppo di lavoro ritiene che tale definizione debba essere conforme al diritto nazionale; conseguentemente, sono autorità pubbliche o organismi pubblici le autorità nazionali, regionali e locali ma, a seconda del diritto nazionale applicabile, la nozione ricomprende anche tutta una serie di altri organismi di diritto pubblico. In questi casi la nomina di un RPD è obbligatoria.
Lo svolgimento di funzioni pubbliche e l’esercizio di pubblici poteri non pertengono esclusivamente alle autorità pubbliche e agli organismi pubblici, potendo riferirsi anche ad altre persone fisiche o giuridiche, di diritto pubblico o privato, in ambiti che variano a seconda delle disposizioni fissate nel diritto interno di ciascuno Stato membro:
- trasporti pubblici;
- forniture idriche ed elettriche;
- infrastrutture stradali;
- emittenti radiotelevisive pubbliche;
- istituti per l’edilizia pubblica o;
- organismi di disciplina professionale.
2. Attività Principali
L’articolo 37, paragrafo 1, lettere b) e c), del RGPD contiene un riferimento alle “attività principali del titolare del trattamento o del responsabile del trattamento”. Nel considerando 97 si afferma che le attività principali di un titolare del trattamento “riguardano le sue attività primarie ed esulano dal trattamento dei dati personali come attività accessoria”. Con “attività principali” si possono intendere le operazioni essenziali che sono necessarie al raggiungimento degli obiettivi perseguiti dal titolare del trattamento o dal responsabile del trattamento.
In base all’articolo 37, paragrafo 1, lettere b) e c), del RGPD, occorre che il trattamento di dati personali avvenga su larga scala per far scattare l’obbligo di nomina di un RPD. Nel regolamento non si dà alcuna definizione di trattamento su larga scala, anche se il considerando 91 fornisce indicazioni in proposito.
Alcuni esempi di trattamento su larga scala sono i seguenti:
- trattamento di dati relativi a pazienti svolto da un ospedale nell’ambito delle ordinarie attività;
- trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio);
- trattamento di dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile del trattamento specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food;
- trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività;
- trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale;
- trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici.
Il concetto di monitoraggio regolare e sistematico degli interessati non trova definizione all’interno del RGPD; tuttavia, il considerando 24 menziona il “monitoraggio del comportamento di detti interessati” ricomprendendovi senza dubbio tutte le forme di tracciamento e profilazione su Internet anche per finalità di pubblicità comportamentale.
Occorre rilevare, però, che la nozione di monitoraggio non trova applicazione solo con riguardo all’ambiente online, e che il tracciamento online va considerato solo uno dei possibili esempi di monitoraggio del comportamento degli interessati.
5. Categorie particolari di dati relativi a condanne penali e a reati”
Le disposizioni dell’articolo 37, paragrafo 1, lettera c), riguardano il trattamento di categorie particolari di dati ai sensi dell’articolo 9 e di dati personali relativi a condanne penali e a reati di cui all’articolo 10. Nonostante l’utilizzo della congiunzione “e” nel testo, non vi sono motivazioni sistematiche che impongano l’applicazione simultanea dei due criteri.
