Temi trattati nell'articolo:
Ti è stato utile?
Attendere prego...
Scrivete in una vostra precedente risposta che la nomina di un Responsabile della Protezione dei Dati (RPD/DPO) è obbligatoria nel caso di trattamento su larga scala, cioè se riguarda un alto numero di interessati localizzati in un determinato contesto territoriale.
Ma la nota 14 a pagina 9 delle Linee Guida del garante, al paragrafo 2.1.3 “Larga scala”, specifica che siamo in presenza di tale fattispecie quando sussiste almeno uno dei seguenti quattro fattori: 1) numero di soggetti interessati dal trattamento 2) volume dei dati e/o le diverse tipologie di dati oggetto di trattamento 3) durata, ovvero la persistenza, dell’attività di trattamento, 4) la portata geografica dell’attività di trattamento.
Per esempio, se per ogni pratica tratto una decina di dati (anche sensibili) che si trovano su diversi documenti, che per legge a loro volta vanno conservati per 10 anni, dire che in questo caso la larga scala non si configura poiché non “riguarda un alto numero di interessati localizzati in un determinato contesto territoriale” mi sembra riduttivo, che ne dice?
Risposta a cura di Idea Services
(per approfondimenti: [email protected])
La nomina di un DPO all’interno di una determinata realtà che non ricade tra quelle menzionate dall’Art. 37 è sicuramente a discrezione del Titolare del Trattamento, e come lei ha evidenziato, la questione è da valutare sotto più punti di vista, ed è questa una delle più grandi responsabilità anche alla luce del principio di accountability che permea il Regolamento.
In questo caso, per parlare di larga scala non dobbiamo valutare quanti dati trattiamo per ogni soggetto interessato, ma di quanti interessati (persone in un determinato contesto fisico che potrebbero essere potenzialmente danneggiati da un trattamento non conforme) trattiamo i dati.
Se parliamo di 20 interessati all’anno, per una media di 10 dati ognuno (solo per seguire il suo discorso, perché il regolamento parla di interessati e non di dati, la differenza è un discrimine fondamentale) abbiamo 200 dati, che moltiplicati per 10 (anni di conservazione dei documenti in cui vengono conservati gli stessi) arrivano a 2000, quindi 2000 dati conservati in azienda.
Ora, prendendo il caso della precedente risposta, se valutiamo:
tutto ciò valutato è evidente che non è semplice poter constatare senza cognizione di causa l’obbligatorietà o meno della designazione di DPO, in quanto a dettare l’esigenza è lo stato dell’arte e non il raffronto tra il numero di dati e la specifica della norma.
È indubbio che nell’incertezza è sempre meglio avvalersi di un consulente che le possa fare un’analisi aziendale preventiva e valutare con il Titolare la possibilità o meno della nomina, valutando per esempio anche il fatto che le società operanti nel settore della cura della salute rientrano tra quelle categorie di soggetti tenuti alla nomina di un DPO (Faq Garante Privacy).