Obbligo RPD (o DPO) per attività principali che richiedono monitoraggio regolare e sistematico su larga scala

Obbligo RPD (o DPO) per attività principali che richiedono monitoraggio regolare e sistematico su larga scala

In base a quanto previsto dall’art. 37, lett. b) del Regolamento UE 2016/679, la nomina del Data Protection Officer (DPO) o – nella traduzione in italiano – Responsabile della protezione dei dati (RPD) si rende necessaria anche nel caso in cui “le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala”.

Cosa si intende per attività principali? E quando è possibile affermare che le attività principali del titolare o del responsabile consistono in trattamenti che richiedono un monitoraggio regolare e sistematico su larga scala?

Attività principali

Come indicato nelle Linee Guida del Gruppo di lavoro Art. 29 sui responsabili della protezione dei dati (RPD) del 13 dicembre 2016, per “attività principali” si possono intendere “le operazioni essenziali che sono necessarie al raggiungimento degli obiettivi perseguiti dal titolare o dal responsabile del trattamento”. E, come precisato nelle citate Linee Guida, l’espressione va interpretata nel senso di ricomprendere anche quei casi in cui il trattamento dei dati “costituisce una componente inscindibile dalle attività svolte dal titolare o dal responsabile”.

In concreto, se una web agency o un esercizio commerciale installa all’interno delle sedi aziendali, per ragioni di sicurezza e tutela del patrimonio, un sistema di videosorveglianza, il trattamento dei dati legato a quel sistema non potrà dirsi collegato alle attività principali delle due società, titolari del trattamento, perché le operazioni non sono necessarie al raggiungimento degli obiettivi tipicamente perseguiti da tali realtà imprenditoriali, né costituiscono una componente inscindibile dalle attività svolte.

Se però pensiamo ad una società di sicurezza privata che svolge attività di vigilanza, allora sarebbe possibile considerare il trattamento dei dati derivante dal sistema di videosorveglianza come attività principale, sia nel caso di sistemi installati da quest’ultima nei propri locali aziendali (e quindi di trattamenti effettuati in qualità di titolare), sia nel caso di sistemi gestiti per conto di terzi (e quindi di trattamenti svolti in qualità di responsabile esterno).

Chiarito cosa si debba intendere per attività principale, si rende necessario però capire in quali casi la stessa consista in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala.

Monitoraggio regolare e sistematico

Nel Regolamento UE 2016/679 non viene fornita una definizione del concetto di “monitoraggio regolare e sistematico”.

Nel considerando 24 del testo normativo di prossima applicazione si menziona il monitoraggio del comportamento degli interessati effettuato, ad esempio, con le varie forme di tracciamento e profilazione online utilizzate anche per fini di pubblicità comportamentale.

Come indicato nelle citate Linee Guida sui responsabili della protezione dei dati (RPD), però, la nozione di monitoraggio non trova applicazione solo con riguardo all’ambiente online e il tracciamento su internet è solo uno dei possibili esempi di monitoraggio.

Volendo considerare altre forme di monitoraggio che prescindono dal mondo del web e rimanendo sul piano di interesse per l’analisi svolta, è, ad esempio, possibile richiamare il trattamento dei dati effettuato attraverso un sistema di videosorveglianza a circuito chiuso, che può comportare un’attività di tracciamento.

Il monitoraggio, per rilevare in termini di obbligo di nomina del Responsabile della protezione dei dati, deve però essere regolare e sistematico.

Secondo quanto indicato nelle già citate Linee Guida, il monitoraggio si considera “regolare” se avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito oppure se è ricorrente o ripetuto a intervalli costanti o, ancora, se avviene in modo costante o a intervalli periodici; si considera “sistematico” se avviene per sistema o se è predeterminato, organizzato o metodico oppure se ha luogo nell’ambito di un progetto complessivo di raccolta di dati o se svolto nell’ambito di una strategia.

In base a tali indicazioni, l’utilizzo di un sistema di videosorveglianza che consente di registrare le immagini di determinate aree aziendali che necessitano di sorveglianza, come da specifico piano di sicurezza interno, può comportare un monitoraggio regolare e sistematico.

Tuttavia, perché si debba procedere all’obbligo di designazione del RPD non è sufficiente che l’attività principale comporti un trattamento di dati che consista in un monitoraggio regolare e sistematico, ma occorre anche che il trattamento sia su larga scala.

Larga scala

Nel Regolamento europeo 2016/679 non vi è una definizione di trattamento su larga scala e, sebbene nelle Linee Guida sui responsabili della protezione dei dati del 13 dicembre 2016 non si escluda che, con il tempo, sarà possibile “individuare alcuni standard utili a specificare in termini oggettivi e quantitativi cosa debba intendersi per “larga scala” con riguardo ad alcune tipologie di trattamento maggiormente comuni”, ad oggi, seguendo le raccomandazioni fornite dai Garanti europei nel citato documento, per stabilire se un trattamento sia effettuato o meno su larga scala occorre tener conto dei seguenti fattori:

  • il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento
  • il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento
  • la durata, ovvero la persistenza, dell’attività di trattamento
  • la portata geografica dell’attività di trattamento

Ancora una volta, volendo rimanere legati all’esempio dell’attività svolta attraverso un sistema di videosorveglianza, potrebbe configurarsi su larga scala il trattamento svolto mediante una rete di telecamere installate nel territorio di una città, anche mediante sistemi intelligenti nell’ambito di progetti di smart city.

Viceversa dovrebbe escludersi che sia su larga scala il trattamento svolto da una piccola realtà aziendale che ha installato all’interno dei suoi locali un sistema di videosorveglianza.

Nel caso però in cui una piccola impresa decidesse di installare un sistema di videosorveglianza e di affidare la sua gestione e, dunque, il relativo trattamento, ad una società di vigilanza esterna, potrebbe continuare ad escludersi che il trattamento sia su larga scala?

In tal caso – seguendo le indicazioni offerte dai Garanti europei nelle citate Linee Guida, seppure per un caso diverso – la società di vigilanza (cui andrebbe conferita apposita nomina a responsabile esterno), effettuerebbe un’attività che, in quanto svolta per più clienti, potrebbe configurare un trattamento su larga scala.

Attività principale di monitoraggio regolare e sistematico su larga scala svolta dal responsabile del trattamento

Se fosse il soggetto esterno, designato responsabile del trattamento, a svolgere l’attività principale che richiede un monitoraggio regolare e sistematico su larga scala?

Si pensi al caso esaminato, ossia quello di una società di vigilanza cui viene affidata la gestione di un sistema di videosorveglianza installato da un esercizio commerciale all’interno dei propri locali.

In tale ipotesi, la società di vigilanza, occupandosi della gestione dei sistemi di videosorveglianza per conto di suoi clienti, di fatto, andrebbe ad effettuare un  trattamento di dati legato alla sua attività principale (sorveglianza) che potrebbe configurare un’ipotesi di monitoraggio regolare e sistematico su larga scala (per il numero di clienti).

Sussisterebbero pertanto tutte le condizioni in presenza delle quali, ai dell’art. 37 lett. b del Regolamento europeo 2016/679, si rende necessaria la designazione del Responsabile della protezione dei dati (RPD) o Data Protection Officer (DPO).

Ma l’attività per cui si dovrebbe nominare un tale soggetto sarebbe relativa al responsabile del trattamento (la società di vigilanza), non al titolare (l’esercizio commerciale).

Cosa fare dunque in questi casi?

In ordine a tale profilo occorre considerare che, per quanto riguarda la nomina del RPD, l’art. 37 del Regolamento UE non distingue tra titolari e responsabili del trattamento.

Come indicato nelle Linee Guida citate “a seconda di chi soddisfi i criteri relativi all’obbligatorietà della nomina, potrà essere il solo titolare ovvero il solo responsabile oppure sia l’uno sia l’altro a dover nominare un RPD”.

Pertanto, in un caso come quello esaminato, dovrebbe considerarsi sussistente l’obbligo di designazione del RPD, ai sensi dell’art. 37 lett. b) del Regolamento UE, ma tale obbligo dovrebbe essere osservato non dalla realtà aziendale – titolare del trattamento –  che decide di installare un sistema di videosorveglianza affidando all’esterno la sua gestione, ma rimarrebbe in capo alla società di vigilanza – responsabile del trattamento.