WP29: Guidelines sul ruolo del Data Protection Officer

Sono state finalmente pubblicate e adottate il 13 dicembre ’16 le Guidelines sul ruolo del Data Protection Officer da parte del Working Party 29. Sono anche disponibili le domande frequenti dei Data Controller sul tema DPO.

Cliccare qui per leggere le GUIDELINES COMPLETE in italiano

Cliccare qui per leggere le GUIDELINES COMPLETE in inglese

Cliccare qui per leggere le FAQ sul tema DPO in italiano

Cliccare qui per leggere le FAQ sul tema DPO in inglese

Le Guidelines (cliccare qui per leggerle) sono molto ricche e si riportano di seguito alcune precisazioni che sono state fissate sulle definizioni di “attività principale” e trattamenti su “larga scala”. Sulla definizione di “attività principale” vengono fornite alcune esemplificazioni sia in senso positivo che negativo ovvero:

Ad esempio, l'attività principale di un ospedale è quella di fornire assistenza sanitaria. Tuttavia, un ospedale non può fornire l'assistenza sanitaria in modo sicuro ed efficace senza l'elaborazione dei dati di salute, come le cartelle cliniche dei pazienti. Pertanto, l'elaborazione di tali dati deve essere considerata come una delle attività principali di ogni ospedale e gli stessi devono quindi designare un DPO;
Una società di vigilanza privata svolge la sorveglianza di un certo numero di centri commerciali e spazi pubblici. La sorveglianza è l'attività principale della società, che a sua volta è indissolubilmente legata al trattamento dei dati personali. Pertanto, questa società deve designare un DPO.

Diversamente per tutte le aziende che svolgono alcune attività ordinarie, ad esempio, pagare i loro dipendenti o trattare dati attraverso attività di supporto IT standard, si tratta di funzioni di supporto necessarie per il “core activity” dell'organizzazione. Queste attività sono necessarie o essenziali e sono solitamente funzioni accessorie, quindi non necessitano di nomina di DPO. Sulla definizione di “larga scala” vengono fornite alcune esemplificazioni sia in senso positivo che negativo, ovvero sono da considerarsi trattamenti su larga scala:

l'elaborazione dei dati del paziente in un ospedale;
il trattamento dei dati di viaggio delle persone che utilizzano il sistema di trasporto pubblico di una città (ad esempio il monitoraggio via carte di viaggio);
l'elaborazione dei dati in tempo reale di geo-localizzazione di clienti di una catena di fast food internazionale per fini statistici attraverso
un data processor specializzato nella fornitura di questi servizi;
il trattamento dei dati dei clienti nel normale corso di attività da una compagnia di assicurazioni o di una banca;
il trattamento dei dati personali per la pubblicità comportamentale da un motore di ricerca (cookies di profilazione);
il trattamento dei dati (i contenuti, il traffico, la posizione) da parte dei fornitori di servizi telefonici o Internet.
Mentre esempi che non costituiscono l'elaborazione su larga scala sono:
il trattamento dei dati dei pazienti da parte di un singolo medico;
il trattamento di dati giudiziari da parte di un avvocato.

Nei prossimi giorni analizzeremo ancora più nel dettaglio le linee guida.