Ai sensi dell’Articolo 37 del Regolamento 679/16, il DPO deve essere designato ogni qual volta:
  • Il trattamento è effettuato da una pubblica autorità o da un organismo pubblico fatta eccezione per le autorità giurisdizionali quando esercitano le loro funzioni
  • Le attività principali del titolare del trattamento consistono nel monitoraggio regolare e sistematico degli interessati sul larga scala
  • Le attività principali consistono nel trattamento su larga scala di categorie particolari di dati personali di cui all’Articolo 9 oppure di dati relativi a condanne penali e a reati di cui all’Articolo 10.

soggetti obbligati nomina DPO

Il GDPR non fornisce la definizione di “autorità pubblica” o “organismo pubblico” e, come chiarito anche nelle Linee guida adottate in materia dal Gruppo Art. 29 (di seguito Linee guida), ne rimette l’individuazione al diritto nazionale applicabile.
I titolari del trattamento che sono tenuti alla designazione di un DPO sono:
  • Le amministrazioni dello Stato, anche con ordinamento autonomo, gli enti pubblici non economici nazionali, regionali e locali
  • Le Regioni e gli enti locali
  • Le università
  • Le Camere di commercio, industria, artigianato e agricoltura
  • Le aziende del Servizio sanitario nazionale
  • Le autorità indipendenti
Occorre, comunque, considerare che, nel caso in cui soggetti privati esercitino funzioni pubbliche (in qualità, ad esempio, di concessionari di servizi pubblici), può risultare comunque fortemente raccomandato, ancorché non obbligatorio, procedere alla designazione di un DPO.
In ogni caso, qualora si proceda alla designazione di un DPO su base volontaria, si applicano gli identici requisiti – in termini di criteri per la designazione, posizione e compiti – che valgono per i DPO designati in via obbligatoria.

DEFINIZIONE DI ATTIVITÀ PRINCIPALI

Con “attività principale” si intende l’attività svolta dal titolare del trattamento (azienda, organizzazione, professionista,  ecc.) allo scopo di raggiungere l’obiettivo primario di fornire un servizio o un prodotto. Si tratta di core business e non di un’attività del tutto accessoria o temporanea. Sono inoltre comprese quelle attività per le quali il trattamento dei dati è inscindibilmente connesso all’attività del titolare del trattamento o del responsabile del trattamento.
Per esempio, il trattamento di dati relativi alla salute (come le cartelle sanitarie dei pazienti) è da ritenersi una delle attività principali di qualsiasi ospedale: ne deriva che tutti gli ospedali dovranno designare un DPO.
Le attività di supporto necessarie ai fini dell’attività principale o dell’oggetto principale sono considerate di natura accessoria e non vengono annoverate fra le attività principali.

soggetti obbligati nomina DPO

DEFINIZIONE DI LARGA SCALA

Il regolamento non definisce cosa rappresenti un trattamento “su larga scala”.
Il Gruppo di Lavoro Art. 29 raccomanda di tenere conto, in particolare, dei fattori qui elencati al fine di stabilire se un trattamento sia effettuato su larga scala:
  • Il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento
  • Il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento
  • La durata, ovvero la persistenza, dell’attività di trattamento
  • La portata geografica dell’attività di trattamento.
Alcuni esempi di trattamento su larga scala sono i seguenti:
  • Trattamento di dati relativi a pazienti svolto da un ospedale nell’ambito delle ordinarie attività
  • Trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio)
  • Trattamento di dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food
  • Trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività
  • Trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale
  • Trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici
Alcuni esempi di trattamento non su larga scala sono i seguenti
  • Trattamento di dati relativi a pazienti svolto da un singolo professionista sanitario
  • Trattamento di dati personali relativi a condanne penali e reati svolto da un singolo avvocato

DEFINIZIONE DI MONITORAGGIO REGOLARE E SISTEMATICO

Il concetto di monitoraggio regolare e sistematico degli interessati non trova definizione all’interno del GDPR.
Tuttavia, esso comprende senza dubbio tutte le forme di tracciamento e profilazione su Internet anche per finalità di pubblicità comportamentale.
Non si tratta, però, di un concetto riferito esclusivamente all’ambiente online.
Alcune esemplificazioni di attività che possono configurare un monitoraggio regolare e sistematico di interessati:
  • Curare il funzionamento di una rete di telecomunicazioni
  • Prestazione di servizi di telecomunicazioni
  • Il reindirizzamento di messaggi di posta elettronica
  • Attività di marketing basate sull’analisi dei dati raccolti
  • Profilazione e scoring per finalità di valutazione del rischio (per esempio, a fini di valutazione del rischio creditizio, definizione dei premi assicurativi, prevenzione delle frodi, accertamento di forme di riciclaggio)
  • Tracciamento dell’ubicazione, per esempio da parte di app su dispositivi mobili
  • Programmi di fidelizzazione
  • Pubblicità comportamentale
  • Monitoraggio di dati relativi allo stato di benessere psicofisico, alla forma fisica e alla salute attraverso dispositivi indossabili
  • Utilizzo di telecamere a circuito chiuso
  • Dispositivi connessi quali contatori intelligenti, automobili intelligenti, dispositivi per la domotica, ecc.
L’aggettivo “regolare” ha almeno uno dei seguenti significati a giudizio del Gruppo di Lavoro:
  • Che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito
  • Ricorrente o ripetuto a intervalli costanti
  • Che avviene in modo costante o a intervalli periodici
L’aggettivo “sistematico” ha almeno uno dei seguenti significati a giudizio del Gruppo di lavoro
  • Che avviene per sistema
  • Predeterminato, organizzato o metodico
  • Che ha luogo nell’ambito di un progetto complessivo di raccolta di dati
  • Svolto nell’ambito di una strategia
Soggetti obbligati privacy

Esempio di soggetti obbligati alla designazione del DPO in ottemperanza all’Articolo 37 del GDPR:

ISTITUTI DI CREDITO
IMPRESE ASSICURATIVE
SISTEMI DI INFORMAZIONE CREDITIZIA
SOCIETÀ FINANZIARIE
SOCIETÀ DI INFORMAZIONI COMMERCIALI
SOCIETÀ DI REVISIONE CONTABILE
SOCIETÀ DI RECUPERO CREDITI
ISTITUTI DI VIGILANZA
PARTITI E MOVIMENTI POLITICI
SINDACATI
CAF E PATRONATI
SOCIETÀ OPERANTI NEL SETTORE DELLE “UTILITIES” (TELECOMUNICAZIONI, DISTRIBUZIONE DI ENERGIA ELETTRICA O GAS)
IMPRESE DI SOMMINISTRAZIONE DI LAVORO E RICERCA DEL PERSONALE
SOCIETÀ OPERANTI NEL SETTORE DELLA CURA DELLA SALUTE, DELLA PREVENZIONE/DIAGNOSTICA SANITARIA QUALI OSPEDALI PRIVATI, TERME, LABORATORI DI ANALISI MEDICHE E CENTRI DI RIABILITAZIONE
SOCIETÀ DI CALL CENTER
SOCIETÀ CHE FORNISCONO SERVIZI INFORMATICI
SOCIETÀ CHE EROGANO SERVIZI TELEVISIVI A PAGAMENTO