http://www.privacyofficertoscana.eu/wp-content/uploads/2017/01/Screenshot_2.jpg

Nuove linee guida DPO con alcune interessanti chiarificazioni

by admin Leave a Comment

Il 13 Dicembre 2016 il WP29 ha pubblicato ed adottato le linee guida sul ruol odel Data Protection Officer all’interno del Nuovo Regolamento Europeo sul trattamento dei dati.

Le linee guida forniscono interessanti novità, in particolare per le categorie di soggetti che vedranno la nomina del DPO come obbligatoria all’interno del proprio organigramma.

Per quanto non esista ancora una traduzione ufficiale, si iniziano a fare esempi concreti relativi al “Core Business”, ai trattamenti “su larga scala”, al “monitoraggio regolare e sistematico”.

Core business può essere considerato come un’operazione chiave necessaria per raggiungere lo scopo del Titolare o del Responsabile. Tuttavia Core business non deve essere interpretato escludendo attività in cui il trattamento di dati sia inestricabilmente parte dell’attività principale. Per esempio, il core business di un ospedale è di provvedere alla cura delle persone. Nonostante ciò, un ospedale non può provvedere alla cura delle persone efficacemente senza trattare dati di salute dei propri pazienti. Di conseguenza il trattamento di tali dati dovrebbe essere considerato uno dei core business per tutti gli ospedali ed ogni ospedale deve quindi designare il DPO Come esempio ulteriore consideriamo una società privata di sicurezza che tiene la sorveglianza di diversi centri commerciali e aree pubbliche. La Sorveglianza è l’attività principale, a sua volta legata indissolubilmente al trattamento dei dati personali. Anche questa società dovrà designare un DPO. D’altro canto, ogni attività svolge alcune attività, per esempio pagare i propri dipendenti e ricevere assistenza informatica. Queste sono necessarie funzioni di supporto alla principale attività della società. Anche se queste attività sono necessarie o essenziali, sono comunemente considerate funzioni secondarie piuttosto che core business.

L’articolo 37 punto 1 comma b e c richiedono che il trattamento dei dati personali sia trattato su larga scala perché sia necessario designare il DPO. Il Regolamento non definisce larga scala anche se il considerando 91 fornisce informazioni guida. È indubbio che non sia possibile dare un numero esatto sia con riguardo all’ammontare dei dati trattati che circa il numero di interessati applicabile a tutte le situazioni.

In ogni caso, il gruppo dei Garanti UE raccomanda i seguenti fattori da tenere in considerazione per definire se il trattamento è eseguito su larga scala:

  • Il numero di interessati coinvolti – sia in termini numerici che in termini di proporzione della popolazione
  • La quantità di dati e/o la varietà di banche dati trattati
  • L’estensione geografica del trattamento

Esempi di trattamenti su larga scala:

  • trattamento di dati dei pazienti nell’ambito delle normali attività di un ospedale
  • trattamento dei dati di viaggio degli utenti di trasporto pubblico (es. tracciatura tramite tessera di abbonamento)
  • trattamento di geo-localizzazione in tempo reale di dati di clienti da parte di una catena multinazionale di fast food a scopo statistico e tramite un Responsabile specializzato in questo servizio
  • trattamento di clienti nel corso delle attività di un’assicurazione o una banca
  • trattamento di dati personali da parte di un motore di ricerca ai fini di pubblicità comportamentale
  • trattamento di dati (contenuti, traffico e localizzazione) tramite provider di servizi telefonici o di internet

La nozione di monitoraggio regolare e sistematico non è definita nel GDPR, ma il concetto del ‘monitoraggio del comportamento dell’interessato’ è menzionato nel considerando 24 e chiaramente comprende tutte le forme di tracciamento e profilazione in internet, incluse le finalità di pubblicità comportamentale. Tuttavia, la nozione del monitoraggio non è ristretta all’ambito internet e il monitoraggio on-line dovrebbe essere considerate solo uno degli esempi di monitoraggio comportamentale dell’interessato.

Il Gruppo dei Garanti EU interpreta ‘regolare’ con uno dei seguenti significati:

  • Continuo o che si verifica a intervalli specifici per un determinato periodo
  • Ricorrente o ripetuto ad intervalli fissi
  • Costantemente o periodicamente messo in atto

Il Gruppo dei Garanti EU interpreta ‘sistematico’ con uno dei seguenti significati:

  • Che si verifica in modo sistematico
  • Panificato, organizzato o metodico
  • Che prenda parte in un piano generale sulla raccolta dei dati
  • Effettuato come parte di una strategia

Esempio: gestione di una rete di telecomunicazioni; fornitura di servizi di telecomunicazione; email retargeting; profilazione e valutazione ai fini di analisi del rischio (ad esempio per la definizione di indici di solvibilità e premi assicurativi, per la prevenzione di frodi, per l’individuazione di riciclaggio di denaro); tracciabilità della posizione, per esempio, per applicazioni mobili; piani di fidelizzazione; pubblicità comportamentale; monitoraggio di dati di benessere, fitness e salute tramite dispositivi indossabili; televisione a circuito chiuso; dispositivi connessi ad esempio contatori intelligenti, macchine intelligenti, domotica, ecc.

Queste linee guida iniziano finalmente a parlare nel concreto di soggetti che dovranno adeguarsi ma la strada è ancora abbastanza lunga e ci aspettiamo nel breve molte precisazioni ed integrazioni, a cominciare dal diritto alla portabilità dei dati che ad oggi presenta ancora molte ombre “operative”.

Attenzione: questo articolo ha più di 90 giorni. Il contenuto potrebbe essere obsoleto o già aggiornato da altri articoli

"Marco Vettori, consulente privacy officer certificato TUV e consulente informatico, già da oltre 10 anni si occupa di privacy, sicurezza informatica ed integrazione nei processi aziendali, con un occhio particolare alle nuove tecnologie con il miglior rapporto innovazione/sicurezza"

admin
adminNuove linee guida DPO con alcune interessanti chiarificazioni