DPO e trattamento dati: in quali casi è su larga scala?

Risposta di

Redazione PMI.it

scritto il

Carlo Giovanni chiede

Scrivete in una vostra precedente risposta che la nomina di un Responsabile della Protezione dei Dati (RPD/DPO) è obbligatoria nel caso di trattamento su larga scala, cioè se riguarda un alto numero di interessati localizzati in un determinato contesto territoriale.
Ma la nota 14 a pagina 9 delle Linee Guida del garante, al paragrafo 2.1.3 “Larga scala”, specifica che siamo in presenza di tale fattispecie quando sussiste almeno uno dei seguenti quattro fattori: 1) numero di soggetti interessati dal trattamento 2) volume dei dati e/o le diverse tipologie di dati oggetto di trattamento 3) durata, ovvero la persistenza, dell’attività di trattamento, 4) la portata geografica dell’attività di trattamento.
Per esempio, se per ogni pratica tratto una decina di dati (anche sensibili) che si trovano su diversi documenti, che per legge a loro volta vanno conservati per 10 anni, dire che in questo caso la larga scala non si configura poiché non “riguarda un alto numero di interessati localizzati in un determinato contesto territoriale” mi sembra riduttivo, che ne dice?

Redazione PMI.it risponde

Risposta a cura di Idea Services
(per approfondimenti: esperto.risponde@ideaservices.eu)

La nomina di un DPO all’interno di una determinata realtà che non ricade tra quelle menzionate dall’Art. 37 è sicuramente a discrezione del Titolare del Trattamento, e come lei ha evidenziato, la questione è da valutare sotto più punti di vista, ed è questa una delle più grandi responsabilità anche alla luce del principio di accountability che permea il Regolamento.

In questo caso, per parlare di larga scala non dobbiamo valutare quanti dati trattiamo per ogni soggetto interessato, ma di quanti interessati (persone in un determinato contesto fisico che potrebbero essere potenzialmente danneggiati da un trattamento non conforme) trattiamo i dati.

Se parliamo di 20 interessati all’anno, per una media di 10 dati ognuno (solo per seguire il suo discorso, perché il regolamento parla di interessati e non di dati, la differenza è un discrimine fondamentale) abbiamo 200 dati, che moltiplicati per 10 (anni di conservazione dei documenti in cui vengono conservati gli stessi) arrivano a 2000, quindi 2000 dati conservati in azienda.

Ora, prendendo il caso della precedente risposta, se valutiamo:

  • che all’interno di una singola pratica non ci sono solo i dati dell’interessato ma anche dei suoi familiari e ci sono dati sensibili (cfr: Particolari all’Art. 9 del Regolamento), che possono comportare gravi rischi per la libertà e la dignità delle persone;
  • che una cooperativa per l’espletamento della sua attività si avvale di personale dipendente e di collaboratori (di cui tratta dati, Particolari e Giudiziari in alcuni casi);
  • che una cooperativa gestisce appalti con più di 10 persone interessate all’anno e che quindi il calcolo in premessa è inferiore rispetto alle stime;
  • che per dati e informazioni si intendono non solo quelle registrate su database o cartella, ma anche ogni eventuale comunicazione mail, per messaggio o documento che possa contenere una informazione o rimando al soggetto interessato e che possa essere archiviato anche in più supporti, non perfettamente allineati e aggiornati;
  • che escluso le aziende (leggasi anche cooperativa) di nuova costituzione difficilmente si hanno tempi certi di conservazione con documenti archiviati in più database o archivi;

tutto ciò valutato è evidente che non è semplice poter constatare senza cognizione di causa l’obbligatorietà o meno della designazione di DPO, in quanto a dettare l’esigenza è lo stato dell’arte e non il raffronto tra il numero di dati e la specifica della norma.

È indubbio che nell’incertezza è sempre meglio avvalersi di un consulente che le possa fare un’analisi aziendale preventiva e valutare con il Titolare la possibilità o meno della nomina, valutando per esempio anche il fatto che le società operanti nel settore della cura della salute rientrano tra quelle categorie di  soggetti tenuti alla nomina di un DPO (Faq Garante Privacy).