GDPR: il WP29 emana le linee guida per chiarire la figura del DPO, il diritto alla portabilità dei dati e i criteri pe...
Con tre provvedimenti del 13 dicembre 2016, il Gruppo dei Garanti dell’Unione Europea (cd. “WP29”), ha emanato importanti chiarimenti in merito a tre novità introdotte dal recente Regolamento Europeo in materia di protezione dei dati personali n. 2016/679 (“GDPR”): il Data Protection Officer (cd. “DPO” o, in Italia, “Responsabile della protezione dei dati”), il diritto alla portabilità dei dati personali e la cd. “autorità di controllo capofila”.
- Il DPO
Con le prime linee guida, il WP29 esamina la figura del DPO, elencando i casi di designazione obbligatoria previsti dall’art. 37 del GDPR (trattamento dei dati da parte di un soggetto pubblico; monitoraggio regolare e sistematico, su larga scala, dei dati degli interessati; trattamento, su larga scala, di speciali categorie di dati personali o di dati relativi a reati e condanne penali) e indicando altresì, a tutti i titolari e/o responsabili del trattamento, l’opportunità di nominare tale figura nel proprio organico, tenendo in considerazione sia le caratteristiche del trattamento dei dati posto in essere al proprio interno, sia, in generale, le facilitazioni che ne deriverebbero in termini di dimostrazione della conformità del proprio trattamento al GDPR (come previsto dall’art. 24 dello stesso).
Con riferimento ai casi di obbligatoria designazione del DPO, il WP29 si sofferma sulle nozioni di “autorità o organismo pubblico”, “attività principale del titolare”, “larga scala” e “monitoraggio regolare e sistematico”, precisando che:
– la definizione di “autorità o organismo pubblico” dev’essere demandata alle diverse leggi nazionali e che l’obbligo di nomina di un DPO incombe anche su quelle persone fisiche o giuridiche le quali, anche ove non ricomprese nelle categorie per le quali la nomina di un DPO è obbligatoria, operano in particolari settori, gestendo attività e/o incarichi di natura pubblicistica (quali, ad esempio, il trasporto pubblico o la fornitura di acqua o di energia elettrica);
– nella definizione di “attività principale” sono ricomprese tutte le operazioni necessarie al titolare del trattamento per raggiungere gli scopi della propria attività e che dalla stessa esulano, invece – così come previsto dal considerando 97 al GDPR – le “attività accessorie” alla principale (così, per una struttura sanitaria, è “attività principale” il solo trattamento dei dati personali dei propri pazienti);
– il concetto di “larga scala” dev’essere valutato sulla base di alcuni specifici criteri – quali, ad esempio, il numero di interessati coinvolti nel trattamento, la durata del trattamento e la sua estensione geografica (tra i trattamenti effettuati su larga scala, in particolare, rientrano la geo-localizzazione, per finalità statistiche, dei clienti di una catena internazionale di fast-food; il trattamento dei dati bancari dei propri clienti da parte di una compagnia assicurativa; il trattamento, da parte di un motore di ricerca, dei dati personali degli utenti per l’invio di pubblicità mirata; tra i trattamenti non su larga scala, invece, sono ricompresi: il trattamento dei dati di un proprio paziente da parte del medico di famiglia ed il trattamento dei dati personali di natura penale da parte di un avvocato);
– la nozione di “monitoraggio regolare e sistematico” non deve essere delimitata al solo mondo del web, in quanto non costituisce trattamento idoneo per la nomina obbligatoria di un DPO solo quello rivolto alla registrazione del comportamenti degli utenti di internet, bensì anche quello ripetuto ad intervalli di tempo regolari o in maniera periodica (fornitura di un servizio di telecomunicazione), quello preorganizzato e metodico (geo-localizzazione tramite mobile app o monitoraggio dell’attività fisica e dello stato di salute mediante lo smartphone) o posto in essere in esecuzione di una precisa strategia (trattamento dei dati per la fidelizzazione del cliente).
Il WP29, in generale, richiama l’attenzione sull’importanza del DPO, definendolo come il soggetto, interno od esterno rispetto all’organizzazione del titolare e/o del responsabile, che riveste un ruolo fondamentale nel trattamento dei dati personali degli interessati: a lui, infatti, è affidata la precipua funzione di “considerare debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo” (cfr. art. 39.2 GDPR). A tal riguardo, il gruppo dei Garanti Europei precisa che ogni DPO deve:
– essere sempre “tempestivamente ed adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali” degli interessati (il che implica, ad esempio, il suo coinvolgimento alle riunioni di maggior rilievo di una società – specie se hanno ad oggetto il trattamento dei dati personali; la richiesta e l’analisi di suoi pareri e la sua consultazione in caso di violazione dei dati);
– operare in piena indipendenza, evitando, nello svolgimento delle sue mansioni, qualsivoglia conflitto di interessi;
– essere previamente consultato in merito alla necessità della redazione di una valutazione di impatto del trattamento (c.d. “Privacy Impact Assessment”) – sebbene tale documento, resti, in ogni caso, di esclusiva competenza del titolare;
– ricevere dal titolare e/o dal responsabile le risorse – anche di natura finanziaria e formativa – necessarie per assolvere ai propri compiti.
In relazione a tale ultimo aspetto, il WP29 riprende sostanzialmente quanto previsto dall’elenco (meramente esemplificativo e non tassativo) dell’art. 39 del GDPR, precisando in ogni caso che, nello svolgimento delle sue mansioni, il DPO non è mai responsabile della conformità del trattamento dei dati al Regolamento Europeo: responsabile, infatti, rimane sempre, in via esclusiva, il titolare e/o il responsabile del trattamento (cfr. art. 24 GDPR).
Il Gruppo di lavoro Europeo, inoltre, effettua anche alcune importanti considerazioni circa la nomina di un DPO all’interno di un gruppo di società, richiamando in toto l’art. 37.2 del GDPR secondo cui “un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati, a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento”. Sul punto, il WP29 suggerisce ai titolari, da un lato, di rendere pubblici i dati di contatto del DPO mediante l’utilizzo della intranet aziendale, di dotare tale soggetto di un apposito indirizzo e-mail e/o di un numero di telefono personale e, dall’altro, di comunicare i dati del DPO alla propria autorità di controllo.
- La portabilità dei dati
Il diritto alla portabilità dei dati è previsto dall’art. 20 del GDPR e consente all’interessato di ricevere dal titolare del trattamento, su di un formato strutturato, di uso comune e leggibile da un dispositivo automatico, i suoi dati personali e di trasmetterli – senza alcun impedimento da parte del titolare – ad un altro titolare del trattamento.
Così come precisato dal WP29, in particolare, l’esercizio di tale diritto – di per sé gratuito, ad eccezione di alcuni casi di specie previsti dall’art. 12 (esercizio infondato, ripetitivo od eccessivo del diritto stesso) – rappresenta un importante strumento volto a favorire lo scambio dei dati personali degli interessati tra diversi titolari del trattamento, a bilanciare, mediante la promozione di un maggiore controllo sui propri dati personali da parte degli interessati, il rapporto tra questi ultimi e i controllers ed a favorire lo sviluppo di nuovi modelli di business basati su un “trasferimento controllato di dati personali” (si vedano, ad esempio, i programmi inglesi e francesi “MiData” e “MesInfos/SelfData”).
Per tali ragioni, secondo il WP29, il titolare del trattamento deve, in primo luogo, informare sempre gli interessati della sussistenza di tale diritto, differenziandolo rispetto a quelli previsti dagli artt. 15 e seguenti del GDPR (accesso, rettifica, oblio, ecc.) e, in secondo luogo, evitare di rimanere inerte e/o silente nei confronti degli interessati che abbiano esercitato tale diritto, fornendo riscontro entro massimo 3 mesi dalla data della richiesta.
Nelle proprie linee guida, il WP29 evidenzia altresì i ruoli e le responsabilità dei soggetti coinvolti nel trasferimento dei dati in forza dell’esercizio del diritto alla portabilità, precisando, da un lato, che il titolare del trattamento che riceve i dati non è legittimato ad utilizzarli indistintamente ed in maniera indiscriminata ma a trattare esclusivamente quelli necessari, pertinenti e non eccessivi rispetto al perseguimento delle proprie finalità e dall’altro, che il titolare del trattamento che abbia ricevuto la richiesta di portabilità da parte di un interessato non è tenuto ad ostacolare l’esercizio di altri diritti che competono a quest’ultimo (sia con riferimento ai diritti conferiti dal GDPR sia avuto riguardo a quelli ottenuti dall’interessato in forza di un contratto sottoscritto con il titolare).
In relazione ai presupposti per l’esercizio del diritto alla portabilità – di cui all’art. 20 del GDPR – invece, il Gruppo dei Garanti Europei specifica che:
– le operazioni di trattamento interessate da tale diritto sono quelle per cui l’interessato abbia fornito il proprio esplicito consenso o che sono effettuate in esecuzione di un contratto (es. trasferimento dei dati relativi a tutte le operazioni di acquisto effettuate da un utente in un negozio di libri online);
– i dati personali che l’interessato intende trasferire siano stati trattati con mezzi (elettronici) automatizzati;
– i dati personali da trasmettere siano chiaramente riferibili alla persona dell’interessato (con esclusione, pertanto, dei dati di natura anonima);
– i dati personali da trasferire siano stati forniti al titolare in maniera diretta e consapevole dall’interessato stesso (es. nome utente, indirizzo e-mail, anno di nascita) ovvero siano stati raccolti dal titolare attraverso l’analisi delle attività compiute da un interessato per mezzo di un servizio o di un dispositivo mobile (es. smartphone) a lui fornito e da lui utilizzato (tra cui, ad esempio, i dati di traffico, di geo-localizzazione o, ancora, i dati personali di natura sanitaria tracciati da apposite applicazioni). Sono, invece, esclusi, i dati creati direttamente dal titolare del trattamento;
– l’esercizio di tale diritto non leda i diritti e le libertà altrui – ad esempio, impedendo ad altri interessati l’esercizio dei diritti loro conferiti dall’art. 13 del GDPR (informazione, rettifica, aggiornamento, ecc.).
A tal riguardo, il WP29 impone l’adozione di particolari cautele nelle ipotesi in cui i dati personali che l’interessato trasferisce ad un nuovo titolare del trattamento contengano informazioni inerenti anche terzi soggetti. Si pensi, ad esempio, alla trasmissione dei dati di un conto corrente bancario tra due aziende di credito: in tal caso, oltre alle informazioni inerenti alle transazioni commerciali effettuate dall’interessato, il nuovo titolare del trattamento acquisirà anche i dati di eventuali suoi terzi beneficiari e/o debitori.
In tali ipotesi, pertanto, il WP29 indica la necessità di: (i) individuare preventivamente una base giuridica per l’effettuazione di tale trasferimento (es: interesse legittimo del nuovo titolare del trattamento alla fornitura di uno specifico servizio agli interessati); (ii) non trattare le informazioni personali dei terzi per proprie finalità (es: finalità di marketing o di invio di materiale promozionale); (iii) implementare strumenti atti a consentire agli interessati di escludere preventivamente le informazioni dei terzi non ritenute idonee al trasferimento.
- L’autorità di controllo capofila
L’individuazione di un’autorità di controllo capofila si rende necessaria soltanto nell’ipotesi in cui un titolare e/o un responsabile ponga in essere un trattamento di dati personali cd. “transfrontaliero” ossia, come previsto dall’art. 4, n. 23 del GDPR: (i) un trasferimento di dati tra più Stati membri dell’Unione Europea o (ii) un trattamento di dati che incide o che potrebbe incidere in modo sostanziale su interessati situati in più di uno Stato membro dell’UE.
Secondo il WP29, la circostanza di cui al precedente punto (ii) è da valutarsi caso per caso, esaminando la tipologia di dati trattati (es. dati di natura speciale ex art. 9 GDPR), le finalità del trattamento perseguite dal titolare e prendendo in considerazione determinati criteri, tra cui la valutazione della eventuale sussistenza di danni o pregiudizi arrecati all’interessato dal trattamento dei suoi dati personali (quali, ad esempio, la turbativa del suo stato di salute, l’aver subito un pregiudizio alla reputazione, la limitazione dei diritti lui garantiti dal GDPR).
Ciò premesso, occorre evidenziare che dall’applicazione del principio della designazione dell’autorità capofila (cd. “one stop shop”) sono pertanto esclusi i casi in cui:
– il trattamento dei dati avvenga esclusivamente su base “locale” (es. trattamento posto in essere da una pubblica autorità);
– il titolare e/o il responsabile del trattamento non abbia (almeno) uno stabilimento in uno Stato dell’UE (non è sufficiente, a tal fine, la mera presenza di un rappresentante estero).
In presenza di un trattamento di dati transfrontaliero, l’art. 56 del GDPR stabilisce che l’autorità di controllo capofila competente a sorvegliare sulla conformità di tale trattamento al GDPR ed a gestire eventuali reclami da parte degli interessati relativi al trasferimento, è quella dello Stato UE in cui è situato (i) l’unico stabilimento del titolare o del responsabile del trattamento ovvero (ii) il loro stabilimento principale, definito dall’art. 4, n. 16 del GDPR come il luogo in cui si trova l’amministrazione centrale o in cui sono stabilite le finalità e le modalità del trattamento.
Così, ad esempio, nel caso in cui un titolare o un responsabile del trattamento abbia la propria amministrazione centrale solo in Italia, l’autorità di controllo capofila sarà quella Italiana; diversamente, nel caso in cui una persona giuridica titolare del trattamento (ad esempio, una banca) abbia la propria amministrazione centrale in Italia ma trasferisca i dati personali degli interessati ad uno specifico dipartimento, interno alla sua organizzazione – quale, ad esempio, il dipartimento assicurativo – e tale dipartimento sia situato in un paese diverso dall’Italia (es: in Francia), l’autorità di controllo capofila sarà quella di quest’ultimo paese.
Lo stesso principio, assume rilevanza anche nel caso di un gruppo di imprese. Il WP29, infatti, prevede che l’autorità di controllo capofila competente per la sorveglianza del trasferimento dei dati tra le imprese di tale gruppo sia quella dello stato UE in cui è presente lo stabilimento (principale) della società controllante, cui sono affidati i poteri di controllo del gruppo stesso (cd. “headquarter”), a meno che le decisioni in ordine alle finalità e modalità del trattamento siano assunte da un’altra impresa situata in un diverso Stato membro dell’UE (in questo caso, l’autorità capofila sarà quella dello Stato in cui ha sede tale altra società).
Relativamente al principio in esame, infine, il Gruppo dei Garanti Europei precisa alcuni criteri idonei per l’identificazione dell’autorità di controllo capofila nell’ipotesi in cui il luogo dello stabilimento principale del gruppo di imprese non coincida con quello dell’amministrazione centrale e quest’ultimo si trovi fuori dall’UE, consigliando, in tal caso, di tenere in considerazione ai fini della determinazione dell’autorità capofila:
– il luogo in cui sono assunte, in via definitiva, le decisioni sulle finalità e sulle modalità del trattamento;
– il luogo in cui sono assunte le decisioni sulle attività di business della società che importano un trattamento dei dati personali;
– il luogo in cui si trova il/i soggetto/i avente/i la responsabilità del trasferimento dei dati infragruppo.
Chiara Agostini
Nicolò Rappa
