WP29: Guidelines sul ruolo del Data Protection Officer
Sono state finalmente pubblicate e adottate il 13 dicembre ’16 le Guidelines sul ruolo del Data Protection Officer da parte del Working Party 29. Sono anche disponibili le domande frequenti dei Data Controller sul tema DPO.Cliccare qui per leggere le GUIDELINES COMPLETE in italiano
Cliccare qui per leggere le GUIDELINES COMPLETE in inglese
Cliccare qui per leggere le FAQ sul tema DPO in italiano
Cliccare qui per leggere le FAQ sul tema DPO in inglese
Le Guidelines (cliccare qui per leggerle) sono molto ricche e si riportano di seguito alcune precisazioni che sono state fissate sulle definizioni di “attività principale” e trattamenti su “larga scala”. Sulla definizione di “attività principale” vengono fornite alcune esemplificazioni sia in senso positivo che negativo ovvero:- Ad esempio, l'attività principale di un ospedale è quella di fornire assistenza sanitaria. Tuttavia, un ospedale non può fornire l'assistenza sanitaria in modo sicuro ed efficace senza l'elaborazione dei dati di salute, come le cartelle cliniche dei pazienti. Pertanto, l'elaborazione di tali dati deve essere considerata come una delle attività principali di ogni ospedale e gli stessi devono quindi designare un DPO;
- Una società di vigilanza privata svolge la sorveglianza di un certo numero di centri commerciali e spazi pubblici. La sorveglianza è l'attività principale della società, che a sua volta è indissolubilmente legata al trattamento dei dati personali. Pertanto, questa società deve designare un DPO.
- l'elaborazione dei dati del paziente in un ospedale;
- il trattamento dei dati di viaggio delle persone che utilizzano il sistema di trasporto pubblico di una città (ad esempio il monitoraggio via carte di viaggio);
- l'elaborazione dei dati in tempo reale di geo-localizzazione di clienti di una catena di fast food internazionale per fini statistici attraverso
- un data processor specializzato nella fornitura di questi servizi;
- il trattamento dei dati dei clienti nel normale corso di attività da una compagnia di assicurazioni o di una banca;
- il trattamento dei dati personali per la pubblicità comportamentale da un motore di ricerca (cookies di profilazione);
- il trattamento dei dati (i contenuti, il traffico, la posizione) da parte dei fornitori di servizi telefonici o Internet.
- Mentre esempi che non costituiscono l'elaborazione su larga scala sono:
- il trattamento dei dati dei pazienti da parte di un singolo medico;
- il trattamento di dati giudiziari da parte di un avvocato.