22 Ottobre 2018

Circolare n.11/2018 Nomina del Data Protection Officier non obbligatoria

Data protocollo: 22 Maggio 2018

Palermo 22 maggio 2018

Prot.2232/18

Circolare n.11/2018

 

OGGETTO: Nomina del Data Protection Officier non obbligatoria sia per i professionisti che per gli studi professionali.

 

Care Colleghe, Cari Colleghi,

la presente per evidenziare che, in merito al nuovo Regolamento UE 679/2016 (“GDPR”), la normativa non contempla, nella nostra attività ordinaria di studio o di libera professione, la nomina del Data Protection Officier - Responsabile della Protezione dei dati.

In base all’articolo 37, paragrafo 1, del RGPD, la nomina di un RPD è obbligatoria in tre casi specifici:

a) se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;

b) se le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; oppure

c) se le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.

 

Soffermiamoci sul concetto di “Larga Scala”.

 

Il considerando 91 del GDPR fornisce la seguente definizione:

Il considerando in questione vi ricomprende, in particolare, “trattamenti su larga scala, che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato”. 

 

D’altro canto, lo stesso considerando prevede in modo specifico che “Il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato”. 

 

Alcuni esempi di trattamento su larga scala sono i seguenti:

•             trattamento di dati relativi a pazienti svolto da un ospedale nell’ambito delle ordinarie attività;

•             trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio);

•             trattamento di dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile del trattamento specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food;

•             trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività;

•             trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale;

•             trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici.

Alcuni esempi di trattamento non su larga scala sono i seguenti:

•             trattamento di dati relativi a pazienti svolto da un singolo professionista sanitario;

•             trattamento di dati personali relativi a condanne penali e reati svolto da un singolo avvocato.

•             trattamento di dati relativi alle dichiarazioni dei redditi svolte da un professionista.

 

Pertanto si ribadisce che per gli studi non è obbligatoria la nomina del DPO salvo casi specifici e scelte discrezionali del titolare dello studio.

 

In attesa di novità significative sulle quali ci ripromettiamo di informarVi, cogliamo l'occasione  per inviarVi i più cari saluti.

 

Il Responsabile del Comitato anticorruzione  dell'ODCECPA                                         Il Presidente

                         Davide Candia                                                                             Fabrizio Escheri