SPECIALE GDPR

D’altro canto le attività tipiche di ogni soggetto, pubbli-

co o privato, quali il pagamento dei dipendenti ovvero

la predisposizione di strutture informatiche a supporto,

seppure necessarie allo svolgimento delle attività princi-

pali, sembrerebbero da considerarsi accessorie e quindi

non rilevanti ai fini della valutazione sull’obbligatorietà

della nomina del DPO.

Al fine di verificare la sussistenza del trattamento su

larga scala, il Gruppo di Lavoro dei 29 raccomanda di

tenere conto dei seguenti fattori:

- il numero di soggetti interessati dal trattamento, in

termini assoluti ovvero espressi in percentuale della

popolazione di riferimento;

- il volume dei dati e/o le diverse tipologie di dati og-

getto di trattamento;

- la durata, ovvero la persistenza, dell’attività di tratta-

mento;

- la portata geografica dell’attività di trattamento.

Attività di monitoraggio

Quanto alla definizione di monitoraggio regolare e siste-

matico, essa non è rinvenibile nel regolamento.

Le Linee guida forniscono alcune indicazioni elencando

al contempo degli esempi di tipologie di attività che

comportano tale forma di monitoraggio quali: curare il

funzionamento di una rete di telecomunicazioni; la pre-

stazione di servizi di telecomunicazioni; il reindirizzamen-

to di messaggi di posta elettronica; attività di marketing

basate sull’analisi dei dati raccolti; profilazione e scoring

per finalità di valutazione del rischio (per esempio, a fini

di valutazione del rischio creditizio, definizione dei pre-

mi assicurativi, prevenzione delle frodi, accertamento di

forme di riciclaggio); tracciamento dell’ubicazione, per

esempio da parte di app su dispositivi mobili; programmi

di fidelizzazione; pubblicità comportamentale; monito-

raggio di dati relativi allo stato di benessere psicofisico,

alla forma fisica e alla salute attraverso dispositivi indos-

sabili; utilizzo di telecamere a circuito chiuso; dispositivi

connessi quali contatori intelligenti, automobili intelligenti,

dispositivi per la domotica, ecc.

Quando prevedere più DPO

Nelle ipotesi di nomina obbligatoria, il secondo com-

ma dell’articolo 37 prevede che, in caso di gruppo im-

prenditoriale, possa essere nominato un unico DPO a

condizione che sia raggiungibile facilmente da ciascuno

stabilimento.

Quando vi sia incertezza circa l’obbligatorietà della no-

mina del DPO, le citate Linee Guida raccomandano ai

titolari e ai responsabili del trattamento di documen-

tare le valutazioni compiute all’interno dell’azienda al

fine di stabilire se si applichi o meno l’obbligo in parola.

Tale documentata valutazione costituisce adempimento

dell’obbligo incombente sui titolari, di cui all’articolo 24,

paragrafo 1, di dimostrare l’adozione di misure adeguate

per garantire la conformità al regolamento.

Anche più soggetti pubblici possono nominare un unico

responsabile, tenuto conto della loro struttura organiz-

zativa e dimensione.

Resta da chiarire se realtà molto complesse possano

nominare più di un DPO oppure se tale scelta, com-

portando evidentemente sovrapposizioni e/o vuoti di

responsabilità, debba essere esclusa.

Qualità professionali

In base al paragrafo quinto dell’articolo 37, il DPO è de-

signato in funzione delle qualità professionali, in partico-

lare della conoscenza specialistica della normativa e delle

prassi in materia di protezione dei dati e della capacità

di assolvere ai compiti di cui all’articolo 39.

49

dicembre 2017

© iStock - LeoWolfert

prosegue a pagina 52