La nomina del Data Protection Officer

Ai sensi dell’art. 37 GDPR, il DPO deve essere designato dal titolare del trattamento, e dal responsabile del trattamento, ogni qualvolta:

- il trattamento sia effettuato da un’autorità pubblica o da un organismo pubblico, eccetto le autorità giurisdizionali nell’esercizio delle loro funzioni302_; - le attività principali del titolare o del responsabile consistano in trattamenti che comportino il monitoraggio regolare e sistematico degli interessati su larga scala;

- le attività principali del titolare o del responsabile consistano nel trattamento, su larga scala, di categorie particolari di dati personali ex art. 9303 e di dati relativi a condanne penali o reati ex art. 10.

302 _{Il D. Lgs. 10 agosto 2018, n. 101, recante disposizioni per l’adeguamento della normativa}

nazionale alle disposizioni del Regolamento (UE) 2016/679, che ha novellato estensivamente il Codice della protezione dei dati personali (D. Lgs. 196/2003), ha tuttavia introdotto, all’art. 2-

sexiesdecies, rubricato “Responsabile della protezione dati per i trattamenti effettuati dalle autorità

giudiziarie nell’esercizio delle loro funzioni”, l’obbligo di nomina del DPO anche per le autorità giudiziarie nell’esercizio delle loro funzioni. Nell’articolo in questione, infatti, non viene utilizzata la formula “possono designare”, bensì “designano”.

303 _{Ai sensi dell’art. 9 i dati rientranti in tali categorie sono i dati personali che rivelino l'origine}

razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché i dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.

125

Il legislatore europeo, nel fare riferimento ai soggetti pubblici, non offre una definizione degli stessi, ma rinvia al diritto domestico dello Stato di appartenenza. La mancanza di una definizione legislativa, o meglio, il rinvio alle singole legislazioni, rischia di lasciare pericolosamente il concetto di “soggetto pubblico” in una dimensione nebulosa, con ciò che può conseguirne, in punto di responsabilità dei soggetti in questione, data l’incertezza sull’obbligatorietà o meno per essi della designazione del DPO. Per tali ragioni, la dottrina si è interrogata circa le modalità attraverso le quali individuare i soggetti in questione in ambito nazionale, ed in particolare se, ai fini di tale individuazione, concorra la natura giuridica dell’ente o dell’organismo considerato, ovvero la natura delle attività svolta, e dunque debba seguirsi un parametro di tipo funzionale.

Il WP29 ha avuto cura di precisare che, se certamente sono da considerarsi «autorità pubbliche o organismi pubblici le autorità nazionali, regionali e locali […] a seconda del diritto nazionale applicabile, la nozione (potrebbe) ricomprende(re) anche tutta una serie di altri organismi di diritto pubblico»304. A titolo esemplificativo, il WP29 richiama inoltre i concetti di “ente pubblico” e di “organismo di diritto pubblico” di cui all’art. 2, paragrafi 1 e 2, della direttiva 2003/98/CE, relativa al riutilizzo dell’informazione del settore pubblico. Ai sensi di tale disciplina, per “ente pubblico” devono intendersi «le autorità statali, regionali o locali, gli organismi di diritto pubblico e le associazioni formate da una o più di tali autorità oppure da uno o più di tali organismi di diritto pubblico»; mentre rientrano nella nozione di “organismi di diritto pubblico” gli enti istituiti per soddisfare specificatamente bisogni d’interesse generale aventi carattere non industriale o commerciale, quanto meno in via prevalente, che siano dotati di personalità giuridica e che presentino, inoltre, almeno uno dei seguenti tratti sintomatici: il finanziamento dell’attività, la soggezione al controllo di gestione, oppure la designazione di più della metà dei componenti degli organi di amministrazione, di direzione o di vigilanza da parte dello Stato, di enti pubblici territoriali o di altri organismi di diritto pubblico.

304 _{Cfr. “Linee guida sui responsabili della protezione dei dati (RPD) adottate dal Gruppo Art. 29}

il 13 dicembre 2016 ed emendate il 5 aprile 2017 (WP243 rev. 01)”, par. 2.1.1., p. 6., nota n. 12,

126

Tuttavia, il richiamo a tale normativa non aiuta l’interprete, in primo luogo perché manca nel GDPR un rinvio generale alla direttiva 2003/98/CE, ed in secondo luogo poiché non appare possibile ricorrere ad un’interpretazione conforme o analogica rispetto alla disciplina dettata da quest’ultima305.

In considerazione della mancanza di una specifica definizione a livello europeo, occorre dunque fare riferimento al diritto nazionale. Com’è noto, però, in Italia manca una nozione unitaria e formale di “soggetto pubblico”, essendo al contrario la stessa “frammentaria e sostanziale”, tant’è che l’ambito soggettivo di applicazione di ogni disciplina di settore deve essere perimetrato sulla base non tanto della natura giuridica del soggetto considerato, ma della funzione perseguita dallo stesso306. Perciò, analizzando la normativa esistente, si dovrebbe fare riferimento all’art. 1 c. 2 del D. Lgs. 165/2001 (Testo Unico del Pubblico Impiego)307, sebbene possano venire in rilievo anche le definizioni dettate rispettivamente dall’art. 2, c. 2 del D. Lgs. 82/2005 (Codice dell’Amministrazione digitale)308, e dall’art. 2 bis del D. Lgs. 33/2013 (c.d. “Decreto trasparenza”)309. In

305 _{Come evidenziato già da attenta dottrina, va esclusa sia un’interpretazione di tipo conforme che}

di tipo analogico, “la prima in quanto non vi è una gerarchia tra le due normative, non potendosi

ritenere che la direttiva sul riutilizzo dei dati sia preminente rispetto al GDPR, di modo che viene a mancare il presupposto che legittimerebbe una interpretazione conforme di questo rispetto a quella. La seconda, invece, poiché la ratio delle due discipline è differente, e pertanto non possono applicarsi analogicamente le norme dell’una alle fattispecie non regolate dall’altra. Infatti, mentre la direttiva 2003/98/CE ha come obiettivo lo sfruttamento economico dei dati in possesso delle amministrazioni statali, attraverso il riutilizzo di essi, il GDPR, pur incentivando la libera circolazione delle informazioni, persegue il primario scopo della protezione dei dati delle persone fisiche: nulla, dunque, che giustifichi un’estensione in via interpretativa delle stesse norme”. V. N.

MINISCALCO, DPO obbligatorio per i soggetti pubblici, ma non per tutti: il problema, rinvenibile al link https://www.agendadigitale.eu/sicurezza/dpo-obbligatorio-per-i-soggetti-

pubblici-ma-non-per-tutti-il-problema/.

306 _Ibidem.

307 _{Ai sensi dell’art. 1, c. 2 del D. Lgs. 30 marzo 2001, n. 165 “per amministrazioni pubbliche si}

intendono tutte le amministrazioni dello Stato, ivi compresi gli istituti e scuole di ogni ordine e grado e le istituzioni educative, le aziende ed amministrazioni dello Stato ad ordinamento autonomo, le Regioni, le Province, i Comuni, le Comunità montane, e loro consorzi e associazioni, le istituzioni universitarie, gli Istituti autonomi case popolari, le Camere di commercio, industria, artigianato e agricoltura e loro associazioni, tutti gli enti pubblici non economici nazionali, regionali e locali, le amministrazioni, le aziende e gli enti i del Servizio sanitario nazionale, l'Agenzia per la rappresentanza negoziale delle pubbliche amministrazioni (ARAN) e le Agenzie di cui al decreto legislativo 30 luglio 1999, n. 300. Fino alla revisione organica della disciplina di settore, le disposizioni di cui al presente decreto continuano ad applicarsi anche al CONI”.

308 _{Ai sensi dell’art. 2, c. 2 del D. Lgs. 7 marzo 2005, n. 82, le disposizioni della disciplina si}

applicano

“a) alle pubbliche amministrazioni di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo

2001, n. 165, nel rispetto del riparto di competenza di cui all'articolo 117 della Costituzione, ivi comprese le partorita di sistema portuale, nonché alle autorità amministrative indipendenti di garanzia, vigilanza e regolazione;

127

considerazione della vasta elencazione contenuta in tali norme, è evidente la difficoltà di individuare in concreto quali enti siano effettivamente investiti dell’obbligo di nomina del DPO.

Il Garante Privacy italiano, sulla scorta del parere già reso dal WP29, ha avuto cura di specificare che i soggetti in questione sarebbero quelli indicati dagli articoli 18-22 del Codice Privacy, ove sono altresì contenute le regole generali per i trattamenti da questi effettuati310. Rientrerebbero dunque in tale disposizione le amministrazioni dello Stato, anche con ordinamento autonomo, gli enti pubblici non economici nazionali, regionali e locali; le Regioni e gli enti locali; le università; le Camere di commercio, industria, artigianato e agricoltura; alle aziende del Servizio sanitario nazionale; le Autorità indipendenti. Il Garante ha inoltre precisato che «nel caso in cui soggetti privati esercitino funzioni pubbliche (in qualità, ad esempio, di concessionari di servizi pubblici), può risultare

b) ai gestori di servizi pubblici, ivi comprese le società quotate, in relazione ai servizi di pubblico interesse;

c) alle società a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n. 175, escluse le società quotate di cui all'articolo 2, comma 1, lettera p), del medesimo decreto che non rientrino nella categoria di cui alla lettera b)”.

309 _{Ai sensi dell’art. 2 bis del D. Lgs. 14 marzo 2013, n. 33 “per "pubbliche amministrazioni" si}

intendono tutte le amministrazioni di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, e successive modificazioni, ivi comprese le autorità portuali, nonché le autorità amministrative indipendenti di garanzia, vigilanza e regolazione. La medesima disciplina prevista per le pubbliche amministrazioni di cui al comma 1 si applica anche, in quanto compatibile: a) agli enti pubblici economici e agli ordini professionali;

b) alle società in controllo pubblico come definite dall'articolo 2, comma 1, lettera m), del decreto legislativo 19 agosto 2016, n. 175. Sono escluse le società quotate come definite dall'articolo 2, comma 1, lettera p), dello stesso decreto legislativo, nonché le società da esse partecipate, salvo che queste ultime siano, non per il tramite di società quotate, controllate o partecipate da amministrazioni pubbliche;(lettera così sostituita dall'art. 27, comma 2-ter, d.lgs. n. 175 del 2016, introdotto dall'art. 27 del d.lgs. n. 100 del 2017)

c) alle associazioni, alle fondazioni e agli enti di diritto privato comunque denominati, anche privi di personalità giuridica, con bilancio superiore a cinquecentomila euro, la cui attività sia finanziata in modo maggioritario per almeno due esercizi finanziari consecutivi nell'ultimo triennio da pubbliche amministrazioni e in cui la totalità dei titolari o dei componenti dell'organo d'amministrazione o di indirizzo sia designata da pubbliche amministrazioni.

La medesima disciplina prevista per le pubbliche amministrazioni di cui al comma 1 si applica, in quanto compatibile, limitatamente ai dati e ai documenti inerenti all'attività di pubblico interesse disciplinata dal diritto nazionale o dell'Unione europea, alle società in partecipazione pubblica come definite dal decreto legislativo emanato in attuazione dell'articolo 18 della legge 7 agosto 2015, n. 124, e alle associazioni, alle fondazioni e agli enti di diritto privato, anche privi di personalità giuridica, con bilancio superiore a cinquecentomila euro, che esercitano funzioni amministrative, attività di produzione di beni e servizi a favore delle amministrazioni pubbliche o di gestione di servizi pubblici”.

310 _{“Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico” rinvenibile al link}

128

comunque fortemente raccomandato, ancorché non obbligatorio, procedere alla designazione di un RPD»311.

Con riferimento ai soggetti privati, invece, si può immediatamente rilevare come, contrariamente a quanto previsto nell’ordinamento tedesco, nel GDPR non vi è alcuna distinzione tra obbligo di designazione del DPO in virtù del criterio discretivo basato sull’elaborazione automatica o meno dei dati personali, combinato con quello basato sul carattere dimensionale dell’azienda, sebbene in un primo momento, nella proposta originaria della Commissione europea, fosse stato previsto l’obbligo di nomina solo per le aziende che impiegavano più di 250 dipendenti312.

Il superamento dell’idea iniziale, che legava la nomina al limite dimensionale della realtà aziendale, si spiega anche in considerazione del principio di risk-based approach che permea l’intera normativa, spiegando i suoi effetti anche con riferimento alla nomina del DPO e richiedendo, appunto, che la valutazione circa l’obbligatorietà della nomina non sia legata ad un piano meramente strutturale – soggettivo e astratto - ma piuttosto ad un piano sostanziale – oggettivo e concreto – che tenga conto della natura e della rischiosità dello specifico trattamento313. Il legislatore europeo, anche a tal fine, ha deciso di optare per il ricorso al concetto di “larga scala”, come criterio discretivo per la nomina obbligatoria o meno di un DPO da parte delle imprese private. Il titolare, infatti, sarà tenuto alla nomina del

311 _{Ci si è interrogati, in particolar modo, su quale fosse il destino delle c.d. società in house, vale a}

dire i soggetti giuridici formalmente di diritto privato, il cui capitale è detenuto, parzialmente o interamente, da soggetti pubblici, nonché i soggetti di diritto privato che, sulla base di una concessione, svolgono funzioni pubbliche o esercitano un potere pubblico. L’indirizzo dottrinario prevalente sembra ammettere la possibilità di far rientrare tali soggetti entro la categoria degli organismi pubblici deputati a nominare il DPO. Cfr. A. AVITABILE, Il data protection officer, in G. FINOCCHIARO (a cura di), Il nuovo Regolamento europeo, op. cit., pp. 337-338.

312 _{V. art. 25.2 della “Proposal for a Regulation of the European Parliament and of the Council on}

the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)”. La Proposta prevedeva che la

nomina del DPO fosse obbligatoria, oltre che nelle ipotesi in cui il trattamento fosse effettuato da un’autorità pubblica, anche nei casi di trattamenti effettuati da imprese con 250 dipendenti o più, e nei casi in cui le attività principali del Titolare o del Responsabile del trattamento consistessero in trattamenti richiedenti per loro natura, oggetto o finalità un controllo regolare e sistematico degli interessati.

313 _{C. SOLINAS, op. cit., p. 893. L’A. prosegue “sono le funzioni stesse del DPO (l’essere}

strumento di ausilio del Titolare o del Responsabile nell’organizzazione e nello svolgimento di un trattamento conforme alla normativa in materia, nonché l’essere egli stesso una misura di garanzia del corretto trattamento) a richiedere che l’obbligo, e finanche l’opportunità di nomina di un tale professionista, siano valutati in relazione all’attività di trattamento da svolgere e non alla mera dimensione del soggetto chiamato a svolgerlo”.

129

DPO nei casi in cui la sua attività abbia ad oggetto un trattamento che per sua natura richieda il monitoraggio regolare e sistematico di dati personali su larga scala314, ovvero quando le attività principali consistano nel trattamento, sempre su larga scala, di categorie particolari di dati personali e di dati giudiziari.

Diventa, pertanto, necessario tracciare il perimetro della definizione di “larga scala”, stante l’inesistenza di precisazioni normative circa il numero di trattamenti di dati personali che ne possano integrare il significato315. Potrebbe essere utile a tal riguardo richiamare il considerando 91, il quale, sebbene nel diverso ambito della valutazione d’impatto, fornisce una definizione di “trattamento su larga scala”, indicando come tale quello che mira al trattamento di una notevole quantità di dati, e che potrebbe incidere su un vasto numero di interessati. Non si tratta, a ben vedere, di una definizione esaustiva, in quanto sarebbe altresì utile, se non necessario, chiarire il concetto di “notevole quantità di dati” e quello di “vasto numero di interessati”, stante l’importanza per l’interprete di fare i conti con quantità precise, non potendosi lo stesso accontentare di enunciazioni teoriche316.

314 _{Nelle Linee Guida, il WP29 ha precisato, con riferimento al concetto di “attività principale” che}

occorre tenere presente il legame intercorrente tra il "core business" aziendale e l'attività di trattamento dei dati personali. A titolo esemplificativo, anche se l'attività principale di un ospedale non è il trattamento dei dati ma la salute dei pazienti, essendo le due attività strettamente collegate, l’attività di trattamento dei dati rientrerà nell'alveo delle attività principali, per cui un ospedale sarà tenuto a nominare un DPO. Situazione analoga è quella di una società di vigilanza, ove l'attività di sorveglianza è indissolubilmente legata all'attività di trattamento dei dati personali. Al contrario, se il trattamento dei dati è solo di supporto al "core business" (ad esempio vengono trattati i dati dei propri dipendenti per procedere ai pagamenti), le imprese non avranno l'obbligo di nomina del DPO. Per quanto attiene, invece, la nozione di “monitoraggio regolare e

sistematico”, la stessa non trova una definizione nel GDPR, ma, secondo le Linee guida del WP29,

l’aggettivo “regolare” può avere almeno uno dei seguenti significati:

- che avviene in modo continuativo ovvero a intervalli definiti per un arco di tempo definito; - ricorrente o ripetuto a intervalli costanti;

- che avviene in modo costante o a intervalli periodici.

L’aggettivo “sistematico”, a sua volta, ha almeno uno dei seguenti significati: - che avviene per sistema;

- predeterminato, organizzato o metodico;

- che ha luogo nell’ambito di un progetto complessivo di raccolta di dati; - svolto nell’ambito di una strategia.

Cfr. Linee guida sui responsabili della protezione dei dati (RPD) adottate dal Gruppo Art. 29 il 13

dicembre 2016 ed emendate il 5 aprile 2017 (WP243 rev. 01).

315 _{Inutile sottolineare che forse sarebbe stato preferibile quantificare un numero minimo di}

trattamenti svolti dal titolare (500/1000/2000 annui) al ricorrere del quale questi incorrerebbe nell’obbligo di nomina.

316 _{G.B. GALLUS – M. PINTUS, Data protection impact assessment, in G. CASSANO - V.}

COLAROCCO, G.B. GALLUS, F.P. MICOZZI (a cura di), Il processo di adeguamento al GDPR.

Aggiornato al D. lgs. 10 agosto 2018, n. 101, Giuffrè, 2018, p. 181.

130

Il WP29, nelle Linee guida, ha suggerito di tenere in considerazione, al fine della definizione di concetto di “larga scala”, i seguenti elementi: il numero dei soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento; il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento; la durata, ovvero la persistenza, dell’attività di trattamento e, infine, la portata geografica dell’attività di trattamento317.

Per quanto riguarda la nomina del DPO, come già sottolineato, l’art. 37 fa riferimento sia al titolare che al responsabile del trattamento di dati personali: ciò significa che il DPO potrà essere nominato solo dal titolare o solo dal responsabile, oppure potrà capitare che sia l’uno che l’altro siano obbligati, ed in questo caso entrambi i DPO saranno tenuti alla reciproca collaborazione318.

La norma contiene poi ulteriori indicazioni relative alla nomina del DPO.

Viene precisato, infatti, che, nel caso in cui i trattamenti siano posti in essere dalle autorità pubbliche che agiscono a livello centrale e periferico, queste, tenuto conto della loro struttura organizzativa o dimensione, possano scegliere di nominare un unico DPO. Anche un gruppo imprenditoriale, inteso come gruppo costituito da un’impresa controllante e altre imprese da questa controllate, può scegliere di nominare un unico DPO, a condizione però che egli sia facilmente reperibile da ciascuno degli stabilimenti. Anche in relazione a questo profilo, le Linee guida si sono occupate di esplicare meglio il concetto di “reperibilità”, chiarendo che lo stesso deve essere interpretato alla luce dei compiti che l’art. 39 GDPR affida al DPO: stante la funzione di contatto che il DPO esercita tanto nei confronti

317 _{L’Autorità ha fornito altresì degli esempi utili all’interprete per individuare i tipi di trattamenti}

che sottopongono il titolare all’obbligo di nomina. Ad esempio, il trattamento dei dati relativi agli spostamenti degli utenti in un servizio di trasporto pubblico, il cui tracciamento avvenga attraverso titoli di viaggio; il trattamento dei dati da parte della struttura sanitaria (viceversa, non deve adempiere l’obbligo di nomina il singolo medico o operatore sanitario che tratta i dati dei pazienti); il trattamento dei dati relativi alla geolocalizzazione raccolti per finalità statistiche; il trattamento ad opera di una banca o di una compagnia assicurativa; il trattamento dei dati da parte di un motore di ricerca per finalità di pubblicità mirata sulla base delle preferenze.

318 _{Il WP29, nelle Linee guida, a tal riguardo ha fornito alcuni esempi pratici di ipotesi in cui il}

titolare del trattamento potrebbe non essere obbligato alla nomina mentre, al contrario, il responsabile vi sarebbe tenuto. È il caso, ad esempio, di una piccola azienda a conduzione familiare operante nel settore della distribuzione di elettrodomestici che si serve di un responsabile del trattamento la cui attività principale consiste nel fornire servizi di tracciamento degli utenti del sito web oltre all’assistenza per attività di pubblicità e marketing mirati. In questo caso, poiché l’azienda non pone in essere un trattamento su larga scala, questa non sarà tenuta a nominare un DPO, mentre al contrario il responsabile del trattamento, che conta numerosi clienti simili all’azienda familiare, svolge, nel suo complesso, un trattamento su larga sala, da cui deriva l’obbligo di nominare un DPO.

131

dell’Autorità di controllo quanto dei soggetti interessati, nonché la necessità per lo