Si applicano a Yahoo! le disposizioni del codice privacy (d.lgs. 196/03)?

L’applicabilità “extraterritoriale”, ossia extra UE e SEE (Spazio economico europeo), della direttiva 95/46/CE e, a cascata, degli strumenti attuativi di ogni Stato membro (appunto il codice privacy per l’Italia) non è un’astratta questione giuridica ma ha evidenti conseguenze pratiche.

Per esempio, i principali motori di ricerca sono tutti gestiti da società con sede extra UE/SEE, si pensi a Yahoo! Search, Google, Bing (Microsoft), Baidu.

Stesso discorso vale per popolari social network quali Facebook, Twitter, Linked-in.

Analoghe considerazioni si applicano ai grandi siti di e-commerce come Amazon, Taobao, Ebay, Alibaba.

In tutti questi casi è fuori discussione l’esistenza di un massiccio trattamento di dati personali.

È dunque necessario chiedersi se siano richiamabili le ordinarie tutele vigenti nel nostro Paese.

[leggi di più]

Le chiavi interpretative per risolvere la questione sono state da tempo fornite dalla Corte di Giustizia UE, com’è ben noto.

Vanno qui richiamate la fondamentale sentenza 13 maggio 2014, Google Spain (e Google), C-131/12 e la successiva sentenza 1° ottobre 2015, Weltimmo, C-230/14.

Anche nella recentissime decisioni GPDP 26 febbraio 2017 [6026501] e Trib. Milano 5 gennaio 2017, entrambe relative al motore di ricerca Yahoo! Search, la soluzione è fermamente orientata sull’asse della giurisprudenza europea appena evocata, né potrebbe essere diversamente.

Allo stesso modo, il Gruppo di lavoro cd. “ex art. 29”, ossia l’organismo che riunisce (fra l’altro) i Garanti europei, ha estratto dalla sentenza Google Spain precise linee guida, sia pure di valore non cogente.

Quello che è meno noto è che alcuni mesi fa si è aggiunta a questa linea interpretativa ormai consolidata una terza decisione della Corte di Giustizia UE, relativa ad Amazon UE, sentenza 28 luglio 2016, C-191/15.

Prima di parlarne brevemente, è utile riassumere lo stato dell’arte alla luce delle due pronunce più note e rispondere alla domanda che dà il titolo a questo articolo.

Che cosa stabilisce la sentenza Google Spain

La sentenza stabilisce che l’attività di commercializzazione di spazi pubblicitari è «intestricabilmente connessa» («inextricably linked») a quella di gestione di un motore di ricerca. È infatti proprio la pubblicità che la rende profittevole.

Poiché inestricabimente connessa, essa si colloca entro il «contesto delle attività» («context of actitivities») di gestione del motore.

Orbene, ai sensi dell’art. 4.1.a) della direttiva 95/46, ogni Stato membro applica al trattamento di dati personali la propria legge nazionale, dunque l’Italia il codice privacy, se nel suo territorio è ravvisabile uno stabilimento del titolare del trattamento che opera, appunto, nel contesto delle attività di quest’ultimo.

Il definitiva, lo stabilimento locale dello Stato membro, purché attivo in un settore connesso inestricabilmente con quello del trattamento di dati personali considerato, determina l’estensione dell’applicazione della normativa nazionale anche al soggetto extraeuropeo titolare del trattamento.

Google Italy s.r.l. determina per esempio l’applicazione del codice privacy a Google Inc.

La medesima regola vale ovviamente per qualsiasi altro soggetto di diritto extra UE/SEE, dunque anche per Yahoo!.

Vale qui soltanto precisare che la società Yahoo Italia s.r.l. di recente non è più attiva (da quanto è possibile apprendere). Quindi per il futuro occorrerà valutare se sia possibile fare riferimento a diverso stabilimento europeo, applicando ovviamente la normativa locale in materia di trattamento dei dati personali.

Che cosa stabilisce la sentenza Weltimmo

Il pregio della decisione nella precisazione della nozione di «stabilimento».

Non solo è tale una sede locale o una società controllata, ma anche qualsiasi altra evidenza di organizzazione, anche minima e a prescindere dalla forma giuridica.

Persino una singola persona fisica, nella specie un rappresentante sul territorio, può soddisfare tale requisito, considerate tutte le particolarità del caso concreto.

È tuttavia essenziale che lo stabilimento indirizzi la sua attività allo Stato membro in cui è collocato.

Gli elementi minimi connotanti uno «stabilimento» sono perciò tre:

1- presenza nel territorio di uno Stato membro;

2- sussistenza di un’attività reale ed effettiva, anche minima;

3- direzione prevalente o esclusiva dell’attività verso il mercato dello Stato membro.

Va notato, conclusivamente, che la vicenda Weltimmo si svolge tutta intra UE.

La società infatti aveva sede principale in Slovacchia, ma dirigeva la propria attività verso l’Ungheria.

In altre parole, l’art. 4.1.a) dir. 95/46 coglie il doppio risultato di determinare l’applicazione extraterritoriale del diritto UE e di stabilire il riparto intra UE tra gli Stati Membri.

Che cosa stabilisce la sentenza Amazon UE

La decisione tocca alcuni rilevanti aspetti in materia consumeristica e di applicazione dei regolamenti europei cd. “Roma I” e “Roma II”. Quella che qui interessa, tuttavia, è la parte relativa alla legge nazionale relativa al trattamento dei dati personali.

Va notato che la decisione, da leggere in parallelo con le conclusioni dell’Avvocato generale, non reca nulla di nuovo rispetto al precedente Weltimmo.

Giovano in ogni caso alcune considerazioni:

  • la decisione (cfr. § 82.3) riformula in termini più generali il dispositivo di Weltimmo;

  • ribadisce che la mera presenza di un sito web accessibile in un dato Stato membro non costituisce, di per sé solo, elemento dirimente.

    In particolare il sito www.google.de non integra, di per sé, «stabilimento» rilevante ai sensi della Direttiva, per quanto esso sia diretto innanzitutto al mercato tedesco. Occorre infatti determinare nel caso di specie se possa ravvisarsi un’organizzazione, anche minima, territoriale;

  • l’opinione dell’Avvocato generale ipotizza, per poi escluderlo (nel caso di specie), che un servizio di assistenza post-vendita stabilito in uno Stato membro possa costituire «stabilimento» rilevante. Lo spunto riveste comunque interesse.

Complessivamente, la decisione conferma pienamente l’indirizzo ormai fermo della Corte di Giustizia e potrà essere utile all’interprete sia per rafforzare, con la citazione di un ulteriore precedente, le proprie argomentazioni sia in quanto offre una sintesi più generale del dispositivo di Weltimmo.

Su questo unico punto è soltanto necessario avvertire che la massima Amazon UE omette di specificare che la direzione verso uno Stato membro può essere anche soltanto prevalente, ancorché ciò risulti chiaro dal resto delle motivazioni.

Avv. Enrico Pelino

(Il presente articolo può essere utilizzato e liberamente pubblicato o riprodotto, per intero o per estratto, purché si citi: autore (avv. Enrico Pelino), titolo (Si applicano a Yahoo! le disposizioni del codice privacy (d.lgs. 196/03)?), sito (www.griecopelino.com) oppure link esatto all’articolo nel sito) [leggi di meno]

DPO: le linee guida in 10 punti

Ad esito della riunione plenaria del 16 dicembre 2016, il “Gruppo di lavoro ex art. 29”, ossia l’organismo consultivo che riunisce (tra l’altro) i Garanti europei, ha reso pubblico  un primo e assai atteso pacchetto di linee guida e FAQ sul cd. Regolamento Generale sulla Protezione dei Dati (“RGPD”), comunemente noto come regolamento privacy europeo.

Qui di seguito si analizzeranno in particolare le linee guida sul data protection officer o DPO, ossia il “responsabile della protezione dei dati”. [leggi di più]

Il pacchetto non costituisce un approdo definitivo e ne è anzi prevista la revisione entro il mese di aprile 2017, che recepirà commenti e osservazioni pervenuti al 15 febbraio 2017. In ogni caso, il nucleo della riflessione appare già delineato nelle sue linee essenziali e vale la pena analizzarlo da subito.

Quanto alla “cornice” normativa, può essere utile ricordare che il Regolamento (reg. UE n. 2016/679) è già in vigore, essendo stato pubblicato nella Gazzetta Ufficiale dell’Unione Europea L 119 del 4 maggio 2016, ma sarà applicabile solo a partire dal 25 maggio 2018, come espressamente dispone l’art. 99.2.

È un atto normativo di una certa complessità, il termine di attuazione non è eccessivamente lontano, appare perciò fortemente raccomandabile avviare sin da subito processi di adeguamento e recepimento in modo da non farsi cogliere impreparati.

Le posizioni espresse dal cd. Gruppo di lavoro ex art. 29, vale la pena ricordarlo, non costituiscono interpretazioni autentiche e non sono vincolanti, tuttavia hanno primario e decisivo significato perché:

  • – provengono da una delle massime fonti istituzionali;
  • – si distinguono per autorevolezza e coerenza;
  • – per prassi consolidata, costituiscono uno dei principali formanti interpretativi.

Il ruolo del DPO e le norme che lo disciplinano

Per il nostro Paese, l’istituto del DPO costituisce indubbiamente una novità, benché in strutture particolarmente organizzate esistano già funzioni interne dedicate alla protezione dei dati personali e incaricate di vari aspetti concernenti la sicurezza dei dati, l’analisi del rischio, l’osservanza della normativa di settore.

Il Regolamento dà tuttavia una connotazione assai peculiare all’istituto e lo investe di una serie di compiti vasta e articolata, per molti versi innovativa rispetto alle esperienze oggi in essere.

In sintesi estrema, il DPO riveste una posizione che è nello stesso tempo di indipendenza e di collaborazione rispetto al titolare o al responsabile del trattamento che lo designano. Si tratta di linee tendenzialmente divergenti e di non facile composizione.

Il DPO può essere anche un consulente esterno alla struttura del preponente, posizione questa che in via tendenziale promette maggiore indipendenza.

Le disposizioni del Regolamento che disciplinano l’istituto sono principalmente gli artt. 37 – 39 e il considerando 97. Va tenuto presente anche il considerando 91, come rilevato dal Gruppo di lavoro.

Minori frammenti di disciplina si trovano negli articoli:

  • – 13.1.b) e 14.1.b) in materia di informativa all’interessato;
  • – 30.1.a) e 30.2.a) sui registri delle attività di trattamento;
  • – 33.3.b) e 34.2 in tema di violazione dei dati (data breach);
  • – 35.2 e considerando 77 sulla valutazione di impatto;
  • – 36.3.d) sulla consultazione preventiva;
  • – 47.1.h) a proposito di binding corporate rule (norme vincolanti d’impresa);
  • – 57.3 relativo ai compiti del Garante.

Quando è obbligatorio designare il DPO

Prima di entrare nel merito delle linee guida, giova ricordare in quali casi la designazione del DPO è obbligatoria (art. 37.1 e considerando 97). Occorre innanzitutto distinguere fra trattamenti svolti da soggetti pubblici e privati.

I soggetti pubblici, infatti, sono sempre tenuti alla designazione del DPO, con l’eccezione delle autorità giurisdizionali nell’esercizio delle loro funzioni.

Per i soggetti privati l’obbligo vale invece solo in casi particolari, quando cioè le attività principali («core activities») da essi svolte:

  • – richiedono monitoraggio regolare e sistematico degli interessati su larga scala; e/o
  • – consistono nel trattamento su larga scala di dati sensibili o giudiziari.

Alcune sintetiche osservazioni:

a) è irrilevante che il soggetto che designa il DPO sia titolare o responsabile del trattamento. Ci si può domandare tuttavia se l’obbligazione del titolare alla designazione si estenda oppure no  ipso facto anche al responsabile di trattamento;

b) ai sensi del considerando 97 «le attività principali [«core activities», n.d.a.] del titolare del trattamento riguardano le sue attività primarie ed esulano dal trattamento dei dati personali come attività accessoria». La formulazione non spicca per nitidezza espressiva e richiede precisazioni;

c) le due qualificazioni «regolare» e «sistematico» valgono solo per il monitoraggio, non per il trattamento di dati sensibili o giudiziari, che potrà perciò non avere né regolarità né sistematicità. Non è precisato tuttavia quale significato concreto dare ai due termini;

d) l’espressione «su larga scala» è decisiva ai fini dell’obbligo di nomina del DPO, tuttavia come determinarla in concreto costituisce questione aperta.

Orbene, le linee guida (di seguito anche “LG”) affrontano tutti questi punti e ne esaminano di ulteriori. Qui di seguito una sintesi in dieci punti.

1) Documentare la scelta di designare/non designare il DPO (§ 2.1 LG)

La soggezione all’obbligo di designare il DPO non è sempre auto-evidente ma può richiedere un’analisi preliminare. I Garanti europei sottolineano l’importanza di documentare tale analisi. La correttezza degli esiti dipende ovviamente dalla completezza dei fattori considerati e dalla loro ponderazione, passaggi di cui sarà necessario dare atto.

Questa documentazione riguarda naturalmente il settore privato. Tuttavia, ad avviso di chi scrive, non può escludersi l’opportunità di provvedervi anche in ambito pubblico, in relazione alla scelta di un’amministrazione di dotarsi di un DPO proprio oppure in condivisione con altre, come consentito dall’art. 37.3.

La scelta deve conformarsi con criteri organizzativi più ampi e non può prescindere da considerazioni economiche, che non possono tuttavia snaturare la fondamentale funzione di garanzia dell’istituto.

2) Casi di designazione fortemente suggerita, ancorché facoltativa (§ 2.1.1 LG)

I Garanti europei ritengono che anche gli enti, organismi, persone giuridiche e fisiche non qualificabili come soggetti pubblici secondo la legislazione nazionale dovrebbero comunque procedere a designare un DPO se svolgono un pubblico servizio o attività cui gli interessati non possono in linea generale sottrarsi.

La designazione in questi casi costituisce una prassi raccomandata, pur non rispondendo a stretto rigore ad alcun obbligo normativo.

L’invito riguarda espressamente gli organismi di disciplina degli ordini professionali (osservata beninteso, ove applicabile, la clausola di esonero di cui all’art. 37.1.a) e al considerando 97), i fornitori del servizio radio-televisivo pubblico, di servizi di trasporto pubblico, di somministrazione di acqua o energia (o gas), ecc.

La ratio è che in siffatte situazioni gli interessati non hanno la possibilità di decidere se e come i loro dati personali saranno trattati, analogamente a quanto avviene rispetto a soggetti pubblici propriamente detti, o la hanno in misura ridottissima.

Ciò giustifica il surplus di tutela garantito dalla designazione di un DPO.

3) «Attività principali» o «core activities» (§ 2.1.2 LG)

Il Gruppo di lavoro, confermando posizioni già emerse nei primi lavori di commento, conferma che le «core activities» non vanno intese soltanto come le attività tipiche (o «primarie») del titolare o del responsabile.

Esse includono altresì tutto ciò che con le attività primarie si trova «inestricabilmente connesso».

Per chiarire meglio il punto: attività tipica o primaria di una struttura sanitaria privata non è quella di trattare i dati sensibili dei pazienti, ma di fornire prestazioni sanitarie. Tuttavia, è evidente che questa attività presuppone necessariamente il trattamento dei dati sanitari dei pazienti, diversamente non potrebbe essere svolta.

Dunque, il trattamento dei dati sensibili costituisce qui core activity e concorre a determinare l’obbligo di designare il DPO.

Altro esempio è quello della fornitura di servizi di videosorveglianza: senza trattamento dei dati personali (nella specie immagini ed eventualmente audio, trasmessi e/o registrati dalle videocamere), l’attività tipica non può essere prestata.

Non sfugge all’interprete che l’espressione «inextricable part» scelta dal Gruppo di lavoro richiama immediatamente analoga terminologia utilizzata dalla Corte di Giustizia UE a proposito dell’applicazione territoriale della (tuttora vigente) direttiva 95/46/CE, cfr. CGUE, Google Spain, C-131/12, § 56 («inextricably linked»).

Secondo l’impostazione dei Garanti, non è invece considerata core activity ma mera «attività ancillare» quella relativa al pagamento dei dipendenti o quella di gestione ordinaria delle risorse informatiche. Come tale, essa è irrilevante ai fini della designazione del DPO.

L’esempio scelto non è dei più felici, poiché l’ordinaria gestione IT non rientrerebbe (nella casistica obbligatoria degli artt. 37.1.b) e 37.1.c). Ad ogni modo, il sottostante nucleo concettuale può dirsi chiaro.

4) Monitoraggio «regolare e sistematico» (§ 2.1.4 LG)

Ad avviso dei Garanti europei, “regolarità” non implica necessariamente “continuità”. È perciò regolare anche un monitoraggio periodico, dunque discontinuo. Ciò che rileva è che sia ripetuto nel tempo (meglio se a determinati intervalli).

«Sistematico» non va inteso in senso temporale (accezione peraltro inesistente in inglese), cosa che lo renderebbe una duplicazione di «regolare», ma in quella logica di: conforme a un sistema, a un piano, predefinito, metodico.

In definitiva, non casuale né estemporaneo.

Sono esempi di monitoraggio regolare e sistematico la fornitura di servizi di telefonia, la geolocalizzazione (si pensi a un’applicazione per cellulare), i programmi fedeltà, la raccolta di dati sanitari attraverso apparecchi di wellness indossabili, in generale l’Internet of Things, la videosorveglianza. In tutti questi casi, se sussiste il requisito della «larga scala» è necessaria la designazione del DPO.

5) «Su larga scala» (§ 2.1.3 LG)

È uno dei nodi più complessi. Sussiste un problema di quantificazione precisa, che a chi scrive appare ineludibile per ragioni di certezza del diritto. Basti osservare che la mancata designazione del DPO è sanzionabile ai sensi dell’art. 83.4.

I Garanti europei ammettono l’esistenza di un’«area grigia», nella quale è incerto se possa parlarsi di attività su larga scala. Forniscono tuttavia alcuni spunti operativi utili quantomeno a limitarla.

Innanzitutto non può parlarsi di larga scala nel caso di attività svolta da un professionista individuale. Il principio può essere desunto in via generale dal richiamo che i Garanti europei fanno al considerando 91.

In altro paragrafo delle linee guida (§ 2.2) il Gruppo di lavoro mostra di considerare collocata in questa zona franca anche la «piccola impresa familiare». Si tratta per la verità di un cenno quasi incidentale, ma vista la scarsità di elementi disponibili si è tentati di farne tesoro.

Più controverso il caso della «media impresa», la cui attività di trattamento potrebbe essere su larga scala a seconda del caso di specie. Lo si desume sempre da un esempio riportato al § 2.2 delle linee guida.

Vale ora la pena notare che la nozione di PMI è precisata a livello europeo in base a parametri oggettivi indicati nella raccomandazione n. 2003/361/CE, cui l’interprete è naturalmente portato a fare riferimento. Sinteticamente:

  • – è media impresa quella con meno di 250 dipendenti e fatturato totale annuo uguale o inferiore a 50 milioni di euro oppure un totale di bilancio annuo pari o inferiore a 43 milioni di euro;
  • – è piccola impresa quella con meno di 50 dipendenti e fatturato totale annuo uguale o inferiore a 10 milioni di euro oppure un totale di bilancio annuo pari o inferiore a 10 milioni di euro;
  • – è microimpresa quella con meno di 10 dipendenti e fatturato totale annuo uguale o inferiore a 2 milioni di euro oppure un totale di bilancio annuo pari o inferiore a 2 milioni di euro.

Il concetto di impresa familiare (a prescindere dalle dimensioni) riposa invece, a livello europeo, su una definizione, di ampio e costante seguito, messa a punto a partire dal rapporto finale 2009 dell’Expert Group on Family Business, cui si rimanda per approfondimenti.

Il collegamento del Regolamento con questi parametri dimensionali ben consolidati in ambito societario è certamente suggestivo, in quanto potrebbe aiutare a restringere i margini dell’«area grigia», tuttavia non trova supporto esplicito nelle linee guida.

Queste anzi indicano criteri del tutto diversi, esclusivamente basati sul volume del trattamento anziché sulle dimensioni della struttura che vi procede. Si tratta dei seguenti:

  • – numero degli interessati coinvolti dal trattamento (o percentuale della popolazione di riferimento);
  • – volume dei dati personali trattati e/o loro ampiezza tipologica;
  • – durata del trattamento;
  • – contesto geografico di quest’ultimo.

Tra gli esempi forniti di trattamento su larga scala figurano quelli di un ospedale (privato), di un’assicurazione o una banca, di un servizio di trasporto pubblico su abbonamento, di fornitori di telefonia o di servizi Internet.

Ci si potrebbe domandare se una grande farmacia, un’associazione tra professionisti o uno studio medico particolarmente strutturati possano rientrare o no, a seconda dei casi, nel concetto del trattamento su larga scala.

6) Esclusione di automatismi nella designazione del DPO (§ 2.2 LG)

L’obbligo di designazione del DPO da parte del titolare del trattamento non si estende automaticamente al responsabile di trattamento, ma occorre autonomamente valutare se questi si trovi oppure no nelle condizioni che lo fanno sorgere.

Vale anche il reciproco: l’obbligo di designazione del DPO da parte del responsabile non comporta automaticamente identico obbligo in capo al titolare.

7) DPO svolto da una struttura pluripersonale (§ 2.4 LG)

Il DPO va considerato come una funzione, pertanto potrà ben essere svolta da una struttura pluripersonale (DPO team) anziché necessariamente da una singola persona fisica. Il punto appare del tutto pacifico nell’analisi del Gruppo di lavoro.

Naturalmente, si richiede una precisa allocazione dei ruoli all’interno dell’organizzazione pluripersonale e l’individuazione di un referente per ciascun cliente (nell’ipotesi del DPO esterno).

8) Coinvolgimento nella struttura del titolare o del responsabile di trattamento (§ 3.1 LG)

I Garanti europei ribadiscono, ancorché il nucleo concettuale apparisse già chiaro alla luce degli artt. 38.1, 38.4, 39 e inoltre 33.3.b) e 34.2, che il DPO:

  • – va coinvolto fin dall’inizio in ogni attività che comporti trattamento di dati personali (dunque in pressoché tutte);
  • – va invitato a partecipare regolarmente alle riunioni con ruoli manageriali di medio e alto livello;
  • – va consultato tempestivamente nel caso di incidenti che determinino violazione dei dati (data breach).

Fondamentale rilievo assume anche la documentazione connessa con il coinvolgimento del DPO nell’organizzazione assistita.

Giova per esempio notare che dovrebbe essere documentata ogni scelta divergente dall’opinione del DPO (il che implica un’assunzione di responsabilità) e garantito a quest’ultimo di formulare chiaramente la propria posizione (cfr. § 3.3).

Il Gruppo di lavoro ribadisce, in particolare, l’obbligo di documentare l’eventuale posizione dissenziente rispetto a quella del DPO in materia di valutazione di impatto (DPIA, data protection impact assessment), cfr. § 4.2.

Nella pratica è prevedibile che queste raccomandazioni del Gruppo di lavoro, che importano precise allocazioni di responsabilità, rischieranno di essere disattese tutte le volte in cui collideranno con reali rapporti di forza e ossificate dinamiche aziendali o di ufficio (soprattutto nel caso di DPO interno).

Va notato da ultimo, sempre in materia di documentazione, che la tenuta dei registri del trattamento, in osservanza degli artt. 30.1 e 30.2, non compete al DPO ma al titolare e al responsabile del trattamento, inclusi (ove richiesto) i rispettivi rappresentanti. Ciò non esclude nella pratica che tale adempimento sia tuttavia affidato sul piano operativo al DPO, senza ovviamente che ciò valga come elisione di responsabilità per i soggetti cui compete normativamente.

In tali casi il DPO dovrà allora procedere concretamente alla documentazione. Si tratta di un passaggio particolarmente rilevante perché ai registri può avere accesso, fra l’altro, l’Autorità garante.

9) Dotazione di risorse (§ 3.2 LG)

La dotazione di risorse al DPO, precisano i Garanti europei, contempla:

  • – la disponibilità di strumenti (finanziari, umani, fisici e operativi, formativi e conoscitivi);
  • – l’accesso e la relazione con altri comparti (risorse umane, IT, legale, management, ecc.);
  • – l’accesso a informazioni;
  • – la disponibilità di tempo adeguato ai compiti richiesti.

Sotto quest’ultimo profilo, giova segnalare che potrebbero sorgere tensioni con la necessità del coinvolgimento totale del DPO nell’organizzazione del titolare e/o del responsabile del trattamento.

I Garanti europei precisano peraltro che il DPO dovrebbe operare secondo una precisa scala di priorità e con approccio pragmatico (§ 4.3 LG). In definitiva, appare lecito desumere, le questioni di minore importanza potranno essere posposte o comunque non trattate granularmente.

Si noti che non viene qui in considerazione una semplice strategia di metodo, ma si tocca un aspetto strettamente funzionale al corretto assolvimento dell’attività del DPO: la copertura omnia di qualsivoglia questione distrae da quelle principali.

La selezione delle priorità presenta peraltro aspetti insidiosi, dal momento che può non essere agevole determinare da subito quali temi avranno reale prevalenza su altri. Anche per questa ragione, è essenziale il coordinamento con i vari settori dell’organizzazione del titolare o del responsabile di trattamento e l’accesso a tutte le informazioni rilevanti.

10) Ruolo essenziale nella valutazione d’impatto (DPIA) (§ 4.3 LG)

Il parere del DPO deve riguardare i seguenti profili:

  • – innanzitutto, se procedere o no alla DPIA;
  • – quale metodologia seguire;
  • – se svolgere la DPIA all’interno o se esternalizzarla;
  • – quali misure di sicurezza porre in essere per ridurre i rischi per gli interessati di trattamento.

Inoltre il DPO deve effettuare una valutazione finale sulla correttezza della DPIA svolta e sulla sua coerenza con il Regolamento.

I Garanti europei non specificano se questa valutazione debba essere dinamica, ossia riveduta nel tempo seguendo gli sviluppi che di volta in volta si presentano, tuttavia questa appare certamente la lettura più coerente.

È palese che lo svolgimento delle attività sopra indicate richiede un alto profilo tecnico, un’adeguata formazione e una marcata specializzazione. Orbene, ad avviso di chi scrive, queste considerazioni, unitamente al principio di indipendenza del DPO, fanno apparire inadeguato e concettualmente disallineato rispetto alla reale portata dell’istituto in esame il disposto dell’art. 38.6, che consente una gestione per così dire “part-time” e “mista” del ruolo di DPO.

In conclusione

Le linee guida rappresentano un discreto avanzamento nella precisazione dell’istituto in commento. Chiariscono in effetti, e talvolta correggono, una serie di passaggi normativi e forniscono indicazioni pratico-operative, ancorché spesso solo con un taglio molto generale.

Restano comunque aperte questioni chiave: prima fra tutte quella di una efficace perimetrazione della nozione di monitoraggio o trattamento su larga scala. Anche il chiarimento sulle core activity, senz’altro pregevole, potrebbe essere tuttavia ulteriormente affinato.

Può notarsi, in via conclusiva, che restano comunque fuori dal raggio delle linee guida argomenti tutt’altro che secondari. Due tra tutti: il coordinamento tra più DPO (es. DPO del titolare e quello del responsabile di trattamento); il passaggio di consegne tra un DPO e un altro, tema estremamente delicato, che non dovrebbe essere lasciato alla prassi applicativa.

Avv. Enrico Pelino

(Il presente articolo può essere utilizzato e liberamente pubblicato o riprodotto, per intero o per estratto, purché si citi: autore (avv. Enrico Pelino), titolo (DPO: le linee guida in 10 punti), sito (www.griecopelino.com) oppure link esatto all’articolo nel sito) [leggi di meno]