Linee guida GDPR sui responsabili della protezione dei dati (RPD) dell’Autorità Garante per la protezione dei dati personali
Adottate il 13 dicembre 2016 – Versione emendata e adottata in data 5 aprile 2017
Nomina di un RPD
- Nomina obbligatoria
In base all’articolo 37, primo paragrafo, del RGPD, la nomina di un RPD è obbligatoria in tre casi specifici:
a) se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;
b) se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; oppure
c) se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.
In questo paragrafo, il WP29 intende fornire indicazioni rispetto ai criteri e alle formulazioni utilizzati nell’articolo 37, paragrafo 1.
Tranne quando sia evidente che un soggetto non è tenuto a nominare un RPD, il WP29 raccomanda a titolari e responsabili di documentare le valutazioni compiute all’interno dell’azienda o dell’ente per stabilire se si applichi o meno l’obbligo di nomina di un RPD, così da poter dimostrare che l’analisi ha preso in esame correttamente i fattori pertinenti. Tale analisi fa parte della documentazione da produrre in base al principio di responsabilizzazione. Può essere richiesta dall’autorità di controllo e dovrebbe essere aggiornata ove necessario, per esempio se i titolari o i responsabili intraprendono nuove attività o forniscono nuovi servizi che potrebbero ricadere nel novero dei casi elencati all’art. 37, paragrafo 1.
Se si procede alla nomina di un RPD su base volontaria, troveranno applicazione tutti i requisiti di cui agli artt. 37-39 per quanto concerne la nomina stessa, lo status e i compiti del RPD esattamente come nel caso di una nomina obbligatoria.
Nulla osta a che un’azienda o un ente, quando non sia soggetta all’obbligo di designare un RPD e non intenda procedere a tale designazione su base volontaria, ricorra comunque a personale o consulenti esterni incaricati di incombenze relative alla protezione dei dati personali. In tal caso è fondamentale garantire che non vi siano ambiguità in termini di denominazione, status e compiti di queste figure; è dunque essenziale che in tutte le comunicazioni interne all’azienda e anche in quelle esterne (con l’autorità di controllo, gli interessati, i soggetti esterni in genere), queste figure o consulenti non siano indicati con la denominazione di responsabile per la protezione dei dati (RPD).
Il RPD viene designato, su base obbligatoria o meno, per tutti i trattamenti svolti dal titolare o dal responsabile.
- “Autorità pubblica o organismo pubblico”
Nel regolamento non si rinviene alcuna definizione di “autorità pubblica” o “organismo pubblico”. Il WP29 ritiene che tale definizione debba essere conforme al diritto nazionale; conseguentemente, sono autorità pubbliche o organismi pubblici le autorità nazionali, regionali e locali ma, a seconda del diritto nazionale applicabile, la nozione ricomprende anche tutta una serie di altri organismi di diritto pubblico. In questi casi la nomina di un RPD è obbligatoria.
Lo svolgimento di funzioni pubbliche e l’esercizio di pubblici poteri non pertengono esclusivamente alle autorità pubbliche e agli organismi pubblici, potendo riferirsi anche ad altre persone fisiche o giuridiche, di diritto pubblico o privato, in ambiti che variano a seconda delle disposizioni fissate nel diritto interno di ciascuno Stato membro: trasporti pubblici, forniture idriche ed elettriche, infrastrutture stradali, emittenti radiotelevisive pubbliche, istituti per l’edilizia pubblica o organismi di disciplina professionale.
In tutti questi casi la situazione in cui versano gli interessati è probabilmente molto simile a quella in cui il trattamento è svolto da un’autorità pubblica o da un organismo pubblico. Più in particolare, i trattamenti perseguono finalità simili e spesso il singolo ha, in modo analogo, un margine esiguo o nullo rispetto alla possibilità di decidere se e come possano essere trattati i propri dati personali; pertanto, è verosimile che sia necessaria l’ulteriore tutela offerta dalla nomina di un RPD.
Benché nei casi sopra descritti non sussista l’obbligo di nominare un RPD, il WP29 raccomanda, in termini di buone prassi, che gli organismi privati incaricati di funzioni pubbliche o che esercitano pubblici poteri nominino un RPD. Le attività del RPD nominato nei termini sopra indicati si estendono a tutti i trattamenti svolti, compresi quelli che non sono connessi all’espletamento di funzioni pubbliche o all’esercizio di pubblici poteri quali, per esempio, la gestione di un database del personale. - “Attività principali”
L’articolo 37, paragrafo 1, lettere b) e c) del RGPD contiene un riferimento alle “attività principali del titolare del trattamento o del responsabile del trattamento”. Nel considerando 97 si afferma che le attività principali di un titolare del trattamento “riguardano le sue attività primarie ed esulano dal trattamento dei dati personali come attività accessoria”. Con “attività principali” si possono intendere le operazioni essenziali che sono necessarie al raggiungimento degli obiettivi perseguiti dal titolare o dal responsabile del trattamento.
Tuttavia, l’espressione “attività principali” non va interpretata nel senso di escludere quei casi in cui il trattamento di dati costituisce una componente inscindibile dalle attività svolte dal titolare o dal responsabile. Per esempio, l’attività principale di un ospedale consiste nella prestazione di assistenza sanitaria, ma non sarebbe possibile prestare tale assistenza nel rispetto della sicurezza e in modo efficace senza trattare dati relativi alla salute, come le informazioni contenute nella cartella sanitaria di un paziente. Ne deriva che il trattamento di tali informazioni deve essere annoverato fra le attività principali di qualsiasi ospedale, e che gli ospedali sono tenuti a nominare un RPD.
A titolo di ulteriore esemplificazione, si può citare il caso di un’impresa di sicurezza privata incaricata della sorveglianza di più centri commerciali e aree pubbliche. L’attività principale dell’impresa consiste nella sorveglianza, e questa, a sua volta, è legata in modo inscindibile al trattamento di dati personali. Ne consegue che anche l’impresa in oggetto deve nominare un RPD.
D’altro canto, tutti gli organismi (pubblici e privati) svolgono determinate attività quali il pagamento delle retribuzioni al personale o la predisposizione di strutture standard di supporto informatico. Si tratta di esempi di funzioni di supporto necessarie ai fini dell’attività principale o dell’oggetto principale del singolo organismo, ma pur essendo necessarie o essenziali sono considerate solitamente accessorie e non vengono annoverate fra le attività principali. - “Larga Scala”
In base all’articolo 37, paragrafo 1, lettere b) e c) del RGPD, occorre che il trattamento di dati personali avvenga su larga scala per far scattare l’obbligo di nomina di un RPD. Nel regolamento non si dà alcuna definizione di trattamento su larga scala, anche se il considerando 91 fornisce indicazioni in proposito.
In realtà è impossibile precisare la quantità di dati oggetto di trattamento o il numero di interessati in modo da coprire tutte le eventualità; d’altra parte, ciò non significa che sia impossibile, col tempo, individuare alcuni standard utili a specificare in termini più specifici e/o quantitativi cosa debba intendersi per “larga scala” con riguardo ad alcune tipologie di trattamento maggiormente comuni. Anche il WP29 intende contribuire alla definizione di questi standard pubblicando e mettendo a fattor comune esempi delle soglie applicabili per la nomina di un RPD.
A ogni modo, il WP29 raccomanda di tenere conto, in particolare, dei fattori elencati nel prosieguo al fine di stabilire se un trattamento sia effettuato su larga scala:
– il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
– il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
– la durata, ovvero la persistenza, dell’attività di trattamento;
– la portata geografica dell’attività di trattamento.
Alcuni esempi di trattamento su larga scala sono i seguenti:
– trattamento di dati relativi a pazienti svolto da un ospedale nell’ambito delle ordinarie attività;
– trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio);
– trattamento di dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food;
– trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività;
– trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale;
– trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici.
Alcuni esempi di trattamento non su larga scala sono i seguenti:
– trattamento di dati relativi a pazienti svolto da un singolo professionista sanitario;
– trattamento di dati personali relativi a condanne penali e reati svolto da un singolo avvocato. - “Monitoraggio regolare e sistematico”
Il concetto di monitoraggio regolare e sistematico degli interessati non trova definizione all’interno del RGPD; tuttavia, il considerando 24 menziona il “monitoraggio del comportamento di detti interessati” ricomprendendovi senza dubbio tutte le forme di tracciamento e profilazione su Internet anche per finalità di pubblicità comportamentale.
Occorre rilevare, però, che la nozione di monitoraggio non trova applicazione solo con riguardo all’ambiente online, e che il tracciamento online va considerato solo uno dei possibili esempi di monitoraggio del comportamento degli interessati.
L’aggettivo “regolare” ha almeno uno dei seguenti significati a giudizio del WP29: – che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito;
– ricorrente o ripetuto a intervalli costanti;
– che avviene in modo costante o a intervalli periodici.
L’aggettivo “sistematico” ha almeno uno dei seguenti significati a giudizio del WP29:
– che avviene per sistema;
– predeterminato, organizzato o metodico;
– che ha luogo nell’ambito di un progetto complessivo di raccolta di dati;
– svolto nell’ambito di una strategia.
Alcune esemplificazioni di attività che possono configurare un monitoraggio regolare e sistematico di interessati: curare il funzionamento di una rete di telecomunicazioni; la prestazione di servizi di telecomunicazioni; il reindirizzamento di messaggi di posta elettronica; attività di marketing basate sull’analisi dei dati raccolti; profilazione e scoring per finalità di valutazione del rischio (per esempio, a fini di valutazione del rischio creditizio, definizione dei premi assicurativi, prevenzione delle frodi, accertamento di forme di riciclaggio); tracciamento dell’ubicazione, per esempio da parte di app su dispositivi mobili; programmi di fidelizzazione; pubblicità comportamentale; monitoraggio di dati relativi allo stato di benessere psicofisico, alla forma fisica e alla salute attraverso dispositivi indossabili; utilizzo di telecamere a circuito chiuso; dispositivi connessi quali contatori intelligenti, automobili intelligenti, dispositivi per la domotica, ecc. - “Categorie particolari di dati e dati relativi a condanne penali e a reati”
Le disposizioni dell’art. 37, paragrafo 1, lettera c), riguardano il trattamento di categorie particolari di dati ai sensi dell’articolo 9 e di dati personali relativi a condanne penali e a reati di cui all’articolo 10. Nonostante l’utilizzo della congiunzione “e” nel testo, non vi sono motivazioni sistematiche che impongano l’applicazione simultanea dei due criteri. Pertanto, il testo deve essere interpretato come se recasse la congiunzione “o”. [NdT: il testo italiano del regolamento reca già la congiunzione “o”] - RPD del responsabile del trattamento
Per quanto riguarda la nomina di un RPD, l’art. 37 non distingue fra titolari e responsabili del trattamento in termini di sua applicabilità. A seconda di chi soddisfi i criteri relativi all’obbligatorietà della nomina, potrà essere il solo titolare ovvero il solo responsabile, oppure sia l’uno sia l’altro a dover nominare un RPD; questi ultimi saranno poi tenuti alla reciproca collaborazione. Vale la pena di evidenziare che anche qualora il titolare sia tenuto, in base ai criteri suddetti, a nominare un RPD, il suo eventuale responsabile del trattamento non è detto sia egualmente tenuto a procedere a tale nomina – che però può costituire una buona prassi.
Alcuni esempi:
– Una piccola azienda a conduzione familiare operante nel settore della distribuzione di elettrodomestici in una città si serve di un responsabile del trattamento la cui attività principale consiste nel fornire servizi di tracciamento degli utenti del sito web oltre all’assistenza per attività di pubblicità e marketing mirati. Le attività svolte dall’azienda e dai clienti non generano trattamenti di dati “su larga scala”, in considerazione del ridotto numero di clienti e della gamma relativamente limitata di attività. Tuttavia, il responsabile del trattamento, che conta numerosi clienti come questa piccola azienda familiare, svolge, nel suo complesso, trattamenti su larga scala. Ne deriva che il responsabile deve nominare un RPD ai sensi dell’art. 37, primo paragrafo, lettera b); al contempo, l’azienda in quanto tale non è soggetta all’obbligo di nomina del RPD.
– Un’azienda di medie dimensioni che produce rivestimenti in ceramica incarica un responsabile esterno della gestione dei servizi di salute occupazionale; tale responsabile ha un numero elevato di clienti con caratteristiche analoghe. Il responsabile è tenuto a nominare un RPD ai sensi dell’art. 37, primo paragrafo, lettera b), poiché svolge trattamenti su larga scala. Tuttavia, l’azienda non è tenuta necessariamente allo stesso adempimento.
Il RPD nominato da un soggetto responsabile del trattamento vigila anche sulle attività svolte da tale soggetto quando operi in qualità di autonomo titolare del trattamento – per esempio, rispetto ai dati concernenti il personale, le risorse informatiche, la logistica. - “Designazione di un unico RPD per più organismi”
L’articolo 37, paragrafo 2, consente a un gruppo imprenditoriale di nominare un unico RPD a condizione che quest’ultimo sia “facilmente raggiungibile da ciascuno stabilimento”. Il concetto di raggiungibilità si riferisce ai compiti del RPD in quanto punto di contatto per gli interessati, l’autorità di controllo e i soggetti interni all’organismo o all’ente, visto che uno dei compiti del RPD consiste nell’ “informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento”.
Allo scopo di assicurare la raggiungibilità del RPD, interno o esterno, è importante garantire la disponibilità dei dati di contatto nei termini previsti dal RGPD. - Il RPD, se necessario con il supporto di un team di collaboratori, deve essere in grado di comunicare con gli interessati in modo efficiente e di collaborare con le autorità di controllo interessate. Ciò significa, fra l’altro, che le comunicazioni in questione devono avvenire nella lingua utilizzata dalle autorità di controllo e dagli interessati volta per volta in causa. Il fatto che il RPD sia raggiungibile – vuoi fisicamente all’interno dello stabile ove operano i dipendenti, vuoi attraverso una linea dedicata o altri mezzi idonei e sicuri di comunicazione – è fondamentale al fine di garantire all’interessato la possibilità di contattare il RPD stesso.
Ai sensi dell’articolo 37, terzo paragrafo, è ammessa la designazione di un unico RPD per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione. Valgono le stesse considerazioni svolte in tema di risorse e comunicazioni. Poiché il RPD è chiamato a una molteplicità di funzioni, il titolare o il responsabile deve assicurarsi che un unico RPD, se necessario supportato da un team di collaboratori, sia in grado di adempiere in modo efficiente a tali funzioni anche se designato da una molteplicità di autorità e organismi pubblici. - “Accessibilità e localizzazione del RPD”
Ai sensi dell’art. 4 [sic] del RGPD, l’accessibilità del RPD deve essere effettivamente tale. Per garantire tale accessibilità, il WP29 raccomanda che il RPD sia localizzato nel territorio dell’Unione europea, indipendentemente dal fatto che il titolare o il responsabile siano stabiliti nell’Ue.
Tuttavia, non si può escludere che, in alcuni casi ove il titolare o il responsabile non sono stabiliti nell’Ue, un RPD sia in grado di svolgere i propri compiti con maggiore efficacia operando al di fuori del territorio dell’Ue. - “Conoscenze e competenze del RPD”
In base all’articolo 37, paragrafo 5, il RPD “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”. Nel considerando 97 si prevede che il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali oggetto di trattamento.
– Conoscenze specialistiche
Il livello di conoscenza specialistica richiesto non trova una definizione tassativa; piuttosto, deve essere proporzionato alla sensibilità, complessità e quantità dei dati sottoposti a trattamento. Per esempio, se un trattamento riveste particolare complessità oppure comporta un volume consistente di dati sensibili, il RPD avrà probabilmente bisogno di un livello più elevato di conoscenze specialistiche e di supporto. Occorre anche distinguere in base all’esistenza di trasferimenti sistematici ovvero occasionali di dati personali al di fuori dell’Unione europea. Ne consegue la necessità di una particolare attenzione nella scelta del RPD, in cui si tenga adeguatamente conto delle problematiche in materia di protezione dei dati con cui il singolo titolare deve confrontarsi.
– Qualità professionali
L’articolo 37, paragrafo 5, non specifica le qualità professionali da prendere in considerazione nella nomina di un RPD; tuttavia, sono pertinenti al riguardo la conoscenza da parte del RPD della normativa e delle prassi nazionali ed europee in materia di protezione dei dati e un’approfondita conoscenza del RGPD. Proficua anche la promozione di una formazione adeguata e continua rivolta ai RPD da parte delle Autorità di controllo.
E’ utile la conoscenza dello specifico settore di attività e della struttura organizzativa del titolare; inoltre, il RPD dovrebbe avere buona familiarità con le operazioni di trattamento svolte nonché con i sistemi informativi e le esigenze di sicurezza e protezione dati manifestate dal titolare.
Nel caso di un’autorità pubblica o di un organismo pubblico, il RPD dovrebbe possedere anche una conoscenza approfondita delle norme e procedure amministrative applicabili.
– Capacità di assolvere i propri compiti
Per capacità di assolvere i propri compiti si deve intendere sia quanto è legato alle qualità personali e alle conoscenze del RPD, sia quanto dipende dalla posizione del RPD all’interno dell’azienda o dell’organismo. Le qualità personali dovrebbero comprendere, per esempio, l’integrità ed elevati standard deontologici; il RPD dovrebbe perseguire in via primaria l’osservanza delle disposizioni del RGPD. Il RPD svolge un ruolo chiave nel promuovere la cultura della protezione dei dati all’interno dell’azienda o dell’organismo, e contribuisce a dare attuazione a elementi essenziali del regolamento quali i principi fondamentali del trattamento, i diritti degli interessati, la protezione dei dati sin dalla fase di progettazione e per impostazione predefinita, i registri delle attività di trattamento, la sicurezza dei trattamenti e la notifica e comunicazione delle violazioni di dati personali.
– RPD sulla base di un contratto di servizi
La funzione di RPD può essere esercitata anche in base a un contratto di servizi stipulato con una persona fisica o giuridica esterna all’organismo o all’azienda titolare/responsabile del trattamento. In tal caso, è indispensabile che ciascun soggetto appartenente alla persona giuridica e operante quale RPD soddisfi tutti i requisiti applicabili come fissati nella Sezione 4 del RGPD; per esempio, è indispensabile che nessuno di tali soggetti versi in situazioni di conflitto di interessi. Pari importanza riveste il fatto che ciascuno dei soggetti in questione goda delle tutele previste dal RGPD: per esempio, non è ammissibile la risoluzione ingiustificata del contratto di servizi in rapporto alle attività svolte in quanto RPD, né è ammissibile l’ingiustificata rimozione di un singolo appartenente alla persona giuridica che svolga funzioni di RPD. Al contempo, si potranno associare le competenze e le capacità individuali affinché il contributo collettivo fornito da più soggetti consenta di rendere alla clientela un servizio più efficiente.
Per favorire una corretta e trasparente organizzazione interna e prevenire conflitti di interesse a carico dei componenti il team RPD, si raccomanda di procedere a una chiara ripartizione dei compiti all’interno del team RPD e di prevedere che sia un solo soggetto a fungere da contatto principale e “incaricato” per ciascun cliente. Sarà utile, in via generale, inserire specifiche disposizioni in merito nel contratto di servizi. - “Pubblicazione e comunicazione dei dati di contatto del RPD”
L’articolo 37, settimo paragrafo, del RGPD impone al titolare o al responsabile del trattamento
– di pubblicare i dati di contatto del RPD, e
– di comunicare i dati di contatto del RPD alle pertinenti autorità di controllo.
Queste disposizioni mirano a garantire che tanto gli interessati (all’interno o all’esterno dell’ente/organismo titolare o responsabile) quanto le autorità di controllo possano contattare il RPD in modo facile e diretto senza doversi rivolgere a un’altra struttura operante presso il titolare/responsabile. Anche la confidenzialità riveste pari importanza; per esempio, i dipendenti possono essere riluttanti a presentare reclami al RPD se non viene garantita la confidenzialità delle loro comunicazioni. Il RPD è tenuto a osservare le norme in materia di segreto o confidenzialità nello svolgimento dei propri compiti, in conformità del diritto dell’Unione o degli Stati membri (art. 38, paragrafo 5).
I dati di contatto del RPD dovrebbero comprendere tutte le informazioni che consentono agli interessati e all’autorità di controllo di raggiungere facilmente il RPD stesso: recapito postale, numero telefonico dedicato e/o indirizzo dedicato di posta elettronica. Se opportuno, per facilitare la comunicazione con il pubblico, si potrebbero indicare anche canali ulteriori: una hotline dedicata, un modulo specifico per contattare il RPD pubblicato sul sito del titolare/responsabile.
In base all’articolo 37, settimo paragrafo, del RGPD non è necessario pubblicare anche il nominativo del RPD. Seppure ciò rappresenti con ogni probabilità di una buona prassi, spetta al titolare o al responsabile e allo stesso RPD stabilire se si tratti di un’informazione necessaria o utile nelle specifiche circostanze. Tuttavia, comunicare il nominativo del RPD all’autorità di controllo è fondamentale affinché il RPD funga da punto di contatto fra il singolo ente o organismo e l’autorità di controllo stessa (art. 39, paragrafo 1, lettera e) ). In termini di buone prassi, il WP29 raccomanda, inoltre, che il titolare/responsabile comunichi ai dipendenti il nominativo e i dati di contatto del RPD. Per esempio, queste informazioni (nominativo e dati di contatto) potrebbero essere pubblicate sulla intranet del titolare/responsabile, inserite nell’elenco telefonico interno e nei diversi organigrammi della struttura
Manuali consigliati per applicare al meglio il GDPR: