Chi deve designare un responsabile della protezione dei dati
L’incredibile inerzia che molte aziende pubbliche e private mostrano, nei confronti della individuazione e designazione di un responsabile della protezione dei dati, mi ha fatto sorgere il dubbio che forse gli esperti del settore non abbiano sensibilizzato a sufficienza i titolari del trattamento su quest’obbligo di legge.
Questa è la ragione per la quale desidero dedicare alcune note, con il prezioso supporto dell’articolo 29 Working party, ad illustrare i casi in cui è obbligatorio designare un responsabile della protezione dei dati.
Queste note sono suddivise in più parti, per prendere in considerazione le varie lettere del comma 1 dell’articolo 37, che di seguito riporto.
Articolo 37 Designazione del responsabile della protezione dei dati
1. Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:
a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10.
Comincio a prendere in considerazione la lettera a).
Il prezioso parere dell’articolo 29 Working party ha ben chiarito che tra l’autorità ed organismi pubblici vanno anche comprese le autorità e gli organismi che svolgono un servizio di pubblico interesse.
Ciò significa che non solo tutte le autorità pubbliche, come Comuni, istituzioni museali pubbliche, province, regioni, aziende sanitarie locali e non, sono obbligate a designare un responsabile della protezione dei dati, ma anche tutte le aziende, seppur private, che svolgono un servizio di pubblico interesse.
Tra queste posso elencare senza alcun dubbio le società per la gestione delle autostrade, le società di trasporto pubblico, sia su rotaia, sia su gomma, gli enti erogatori e distributori di energia elettrica e servizi telefonici, i servizi radiotelevisivi, i gestori di rete di distribuzione di acqua, le aziende che raccolgono ed trattano rifiuti urbani, gli ordini professionali, i gestori di case popolari, nonché numerosissime altre attività, tra le quali indubbiamente vanno anche inseriti gli istituti di vigilanza privata, che addirittura l’articolo 29 Working party ha esplicitamente menzionato.
Come si vede, l’ambito di applicazione è assai allargato e ricordo ancora una volta che il responsabile della protezione dei dati deve essere pienamente operativo ed aver svolto già le sue preziose attività di supporto al titolare al responsabile del trattamento, prima della data ultima del 24 maggio 2018.
Un ulteriore raccomandazione riguarda il fatto che, una volta che sia stato designato un responsabile della protezione dei dati, è bene che esso si occupi di tutte le attività di trattamento sviluppate dal titolare, anche se esse potrebbero non rientrare, a rigore, nelle attività critiche. Ad esempio, non mi sembra logico che un responsabile della protezione dei dati si debba occupare solo degli applicativi che trattano le bollette da emettere ai clienti e non anche degli applicativi che trattano i dati personali dei dipendenti.
Se poi qualche titolare del trattamento, che rientra nelle categorie sopra illustrate, ritiene che la peculiare attività che egli svolge non rientri tra le indicazioni del regolamento, offro un tanto caldo, quanto disinteressato consiglio:
ove il titolare del trattamento ritenga di non rientrare fra le categorie previste dall’articolo 27 del regolamento generale europeo sulla protezione dei dati, è bene che sviluppi un documento molto articolato, e supportato da valide considerazioni di natura tecnica e legale, ove saranno ben illustrate tutte le ragioni che lo hanno portato ad assumere la decisione di non aver bisogno di un responsabile della protezione dei dati.
Raccomando di compilare con molta attenzione questo documento, perché un domani esso potrebbe essere richiesto in esame da parte dell’autorità garante nazionale, che vorrà sapere come mai il titolare del trattamento non aveva ancora designato un responsabile della protezione dei dati.
Se il documento non sarà sufficientemente convincente, scatteranno sanzioni non certo leggere!
Adalberto Biasiotti
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.