Quando è necessario designare il DPO e cosa si intende per attività principali, per monitoraggio regolare e sistematico

Nomina del DPO

[Torna su]

L'art. 37 del Reg. Ue 2016/679 (GDPR) stabilisce che il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:

a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure

c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 (es. dati sanitari) o di dati relativi a condanne penali e a reati di cui all'articolo 10.

Esaminiamo i casi di obbligatorietà del DPO in ambito privato e approfondiamo il concetto di attività principale di monitoraggio regolare e sistematico, rinviando il punto a) ad una specifica trattazione.

Cosa si intende per attività principali

[Torna su]

Sia nel punto b) che nel punto c) il regolamento individua le cosiddette attività principali.

Per attività principali devono intendersi come precisa il considerando 97 quelle primarie ed esulano dal trattamento dei dati personali come attività accessoria".

Tuttavia il Gruppo di Lavoro art. 29 nelle linee guida chiarisce che non possono escludersi i casi in cui "il trattamento di dati costituisce una componente inscindibile dalle attività svolte dal titolare del trattamento o dal responsabile del trattamento. E riporta a titolo esemplificativo l'attività principale di un ospedale che è quella della prestazione sanitaria ma "non sarebbe possibile prestare tale assistenza nel rispetto della sicurezza e in modo efficace senza trattare dati relativi alla salute, come le informazioni contenute nella cartella sanitaria di un paziente"

Monitoraggio regolare e sistematico

[Torna su]

Nel regolamento non è presente una definizione di monitoraggio regolare e sistematico. Il considerando 24 del regolamento con "monitoraggio del comportamento di detti interessati" fa riferimento a tutte le forme di tracciamento e profilazione su Internet anche per finalità di pubblicità comportamentale.

Secondo il Gruppo di Lavoro art. 29, inoltre, l'aggettivo regolare ha almeno uno dei seguenti significati: che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito; ricorrente o ripetuto a intervalli costanti; che avviene in modo costante o a intervalli periodici.

Mentre per aggettivo sistematico deve intendersi che: che avviene per sistema; predeterminato, organizzato o metodico; che ha luogo nell'ambito di un progetto complessivo di raccolta di dati; svolto nell'ambito di una strategia.

Uno degli esempi riportati nelle linee guida è l'utilizzo di telecamere a circuito chiuso.

Va considerato che a prescindere dai casi di obbligatorietà di nomina del DPO, è comunque apprezzabile prevederne facoltativamente la figura.

Avv. Edoardo Di Mauro

edoecho83@gmail.com

3518845035

Edoardo Di MauroEdoardo di Mauro - articoli
E-mail: edodim83@gmail.com
Avvocato, si occupa di diritto amministrativo, penale, contratti, diritto dell'informatica ed internet.

Foto: 123rf.com
Altri articoli che potrebbero interessarti:
In evidenza oggi: