Tra le novità più significative del nuovo Regolamento Europeo in materia di privacy, ci sono indubbiamente la figura del DPO (responsabile alla sicurezza dei dati) e la DPIA (la valutazione di impatto privacy); non tutti i soggetti privati, però, sono interessati da queste novità. In estrema sintesi, il quadro può essere delineato nei termini seguenti.
La valutazione di impatto privacy (DPIA) è necessaria quanto il trattamento dei dati può presentare un rischio elevato per i diritti e le libertà delle persone fisiche (art. 35 Regolamento); in particolare, vengono in rilievo i trattamenti automatizzati, quelli su larga scala di dati sensibili o di dati relativi a condanne penali, nonché la sorveglianza sistematica (es. impianto video). L’elenco non è esaustivo e, per capire se una DPIA è necessaria, si possono tenere in considerazione ulteriori caratteristiche del trattamento, come ad esempio l’assegnazione di un punteggio (profili comportamentali, graduatoria per accesso al credito…), monitoraggio sistematico, particolare sensibilità dei dati trattati, uso di tecnologie o apparati organizzativi peculiari, vulnerabilità degli interessati.
Al di fuori dai casi in cui è obbligatoria, la valutazione di impatto resta uno strumento estremamente utile per i privati che effettuino trattamento di dati, perché, da un lato consente di dimostrare che il responsabile del trattamento si è attivato per la protezione dei dati e, dall’altro, rappresenta un utile strumento di audit interno.
La nomina del Responsabile del trattamento (DPO) è necessaria nel caso di monitoraggio degli interessati su larga scala o nel caso di trattamento su larga scala di particolari categorie di dati (art. 37 Regolamento). Il concetto di “larga scala” è definito tenendo presente l’ampiezza della platea di interessati, l’estensione geografica del trattamento, la durata dello stesso, il volume dei dati. Sono pertanto tenuti alla nomina di un DPO le strutture private che offrono servizi medici, le società di servizi finanziari e assicurativi, quelle di recupero crediti, le agenzie per il lavoro interinale, eccetera. Non risultano invece tenuti alla nomina i singoli soggetti che operano in forma individuale (il singolo medico, lo studio legale composto da un solo avvocato, ecc.).
Anche in questo caso, la nomina del DPO, laddove non obbligatoria, può essere utile come misura volta a prevenire il concretizzarsi di rischi e data breach, nonché al fine di organizzare al meglio l’attività lavorativa.
Avv. Andrea MARTINIS
diritto civile (responsabilità civile, assicurazioni, recupero crediti), privacy, diritto penale