Regolamento Europeo, il DPO è obbligatorio per gli istituti di vigilanza
Il Gruppo dei Garanti UE (WP 29) ha approvato, lo scorso 13 dicembre, le prime tre Linee guida relative al Regolamento, nell’intento di fare maggiore chiarezza in vista della sua applicazione da parte degli Stati membri. In particolare, con riferimento al DPO (responsabile della protezione dei dati), così come richiamato dal nostro Garante, sono stati specificati i requisiti soggettivi e oggettivi di questa figura, la cui designazione sarà obbligatoria per tutti i soggetti pubblici e per alcuni soggetti privati sulla base di criteri che il Gruppo stesso ha chiarito.
Quanto ai soggetti non pubblici per i quali è previsto l’obbligo di designazione occorre interrogarsi su alcune nozioni, quali quella di larga scala, di attività principale, monitoraggio regolare e sistematico, e ciò al fine di individuare quali siano i soggetti interessati dalla relativa disciplina.
Il Gruppo di lavoro si premura di specificare, con riferimento ad esempio alle “attività principali” (“core activities”), che si debba tener presente la strumentalità del trattamento rispetto al raggiungimento delle finalità del titolare.
In una delle esemplificazioni, infatti, si richiama l’attività della società di vigilanza privata che svolge la sorveglianza di un certo numero di centri commerciali e spazi pubblici. La sorveglianza, si specifica in questo caso, è l'attività principale della società che, a sua volta è “legata in modo inscindibile al trattamento dei dati personali. Pertanto, questa società deve designare un DPO”. La terminologia utilizzata laddove viene specificato che la sorveglianza è “legata in modo inscindibile a al trattamento dei dati personali” ( Linee Guida paragrafo 2.1.2), non può che essere il punto di partenza non solo quanto alla nomina di un “Responsabile della protezione dei dati” ma anche quanto all’esigenza di far chiarezza, nell’ambito dello specifico settore, in ordine all’applicazione del GDPR per mettere in luce criticità ed opportunità, così da predisporre un “adeguato” programma di compliance specifico per il settore, anche alla luce del sistema sanzionatorio previsto.
A cura dell’avv. Maria Cupolo - consulente esperto Privacy e Data Protection Officer
linkedin.com/in/mariacupolo.