Economia

Trattamento dati: serve il DPO anche se il GDPR non lo impone?

lentepubblica.it Trattamento dati e nomina DPO: il GDPR sembrerebbe lasciare alcune zone d’ombra, ma eventualmente chi è che rischia in primo luogo? Scopriamolo qui di seguito in questo approfondimento. Premessa L’attuale disciplina in materia di protezione dei dati personali, delineata dal Regolamento (UE) 2016/679 (GDPR), attribuisce un ruolo fondamentale alla figura del Data Protection Officer (DPO), […] The post Trattamento dati: serve il DPO anche se il GDPR non lo impone? appeared first on lentepubblica.it.

Apr 21, 2025 - 20:48
 0
Trattamento dati: serve il DPO anche se il GDPR non lo impone?

lentepubblica.it

Trattamento dati e nomina DPO: il GDPR sembrerebbe lasciare alcune zone d’ombra, ma eventualmente chi è che rischia in primo luogo? Scopriamolo qui di seguito in questo approfondimento.

Premessa

L’attuale disciplina in materia di protezione dei dati personali, delineata dal Regolamento (UE) 2016/679 (GDPR), attribuisce un ruolo fondamentale alla figura del Data Protection Officer (DPO), quale presidio di legalità e garanzia di accountability. L’obbligo di nomina, posto a carico del titolare e del responsabile del trattamento, è chiaramente disciplinato dall’art. 37 del GDPR. Altra norma rilevante è quella di cui all’art. 28, che regola i rapporti tra il Titolare e il Responsabile del trattamento, introducendo obblighi indiretti e valutazioni di adeguatezza.

L’art. 28 GDPR: obblighi del Titolare nella designazione del Responsabile del trattamento

L’art. 4 del GDPR definisce il Responsabile esterno del trattamento la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. In particolare, allorquando il Titolare decide di ricorrere a tale figura, l’art. 28 dispone che egli non è totalmente libero nella scelta, in quanto potrà affidarsi unicamente a Responsabili che presentino “garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.

L’art. 37 GDPR: struttura dell’obbligo e spazi applicativi

L’art. 37 invece indica espressamente i tre casi in cui il titolare del trattamento e il responsabile del trattamento sono obbligati a nominare un DPO, ovvero quando:

  1. il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccetto le autorità giurisdizionali nell’esercizio delle loro funzioni precipue;
  2. le attività principali del Titolare o del Responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  3. le attività principali consistono in trattamenti su larga scala di categorie particolari di dati personali, ex art. 9 o dati relativi a condanne penali e reati ex art. 10.

L’obbligo di designazione del DPO

Dalla lettura della norma richiamata si evince che l’obbligo di designazione previsto dalla lett. a) dell’art. 37 grava su tutti gli enti pubblici come le amministrazioni dello Stato, nonché quelli con ordinamento autonomo, inclusi istituti scolastici, Università, Camere di commercio, industria, artigianato e agricoltura e Aziende del Servizio sanitario nazionale.

Con riferimento invece ai soggetti privati che esercitano funzioni pubbliche, l’obbligo di designazione del DPO è subordinato a una valutazione che tenga conto degli elementi indicati dalle lett. b) e c) dell’art. 37, ovvero attività consistenti in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala oppure trattamenti su larga scala di categorie particolari di dati personali.

Ebbene, in due casi recenti è accaduto che i responsabili esterni del trattamento, affidatari di un servizio per conto di un ente locale, abbiano omesso di nominare il DPO, sull’assunto che le proprie attività principali non rientrassero nelle ipotesi di cui alle lett. b) e c) dell’art. 37.

Due casi “esempio” di omissione

Il primo caso è quello di un’impresa privata incaricata di gestire, per conto di un Comune, il servizio di trasporto scolastico. Si tratta di un’attività che, proprio per la sua natura intrinseca, presuppone il trattamento di dati personali di minori e, in alcuni casi, anche dati relativi allo stato di salute (es. disabilità).

Ebbene, l’impresa stessa ritiene di non essere tenuta alla nomina di un DPO, in quanto la sua attività non rientrerebbe nelle ipotesi previste dalle lett. b) e c) di cui all’art. 37, sebbene la mole dei dati trattati e la durata del servizio (intero anno scolastico, con reiterazione nel tempo) suggeriscano un trattamento sistematico e potenzialmente su larga scala, motivo per cui la nomina di un DPO parrebbe raccomandabile al fine di garantire il rispetto del principio di accountability.

Simile è il caso di una società privata incaricata della stampa, imbustamento e invio di comunicazioni contenenti dati personali dei cittadini (avvisi TARI, solleciti di pagamento, notifiche anagrafiche), sempre su incarico del Comune.

Anche in questa circostanza, la società ritiene di non essere tenuta alla nomina del DPO, sebbene i dati trattati riguardino migliaia di interessati, con operazioni che si ripetono periodicamente. Sebbene la società possa non rientrare formalmente nei criteri di “larga scala” previsti dal GDPR, è evidente che l’entità del trattamento e la responsabilità fiduciaria affidatale dal Titolare del trattamento (il Comune) impongono un’attenta valutazione del rischio e una giustificazione esplicita dell’eventuale mancata nomina del DPO.

In entrambi i casi, le attività rientrano nel perimetro delle “attività principali” del Responsabile e si avvicinano alla nozione di trattamento su larga scala.

La posizione del Garante

Al riguardo, emblematica è la posizione del Garante per la protezione dei dati personali, il quale, nelle proprie FAQ, riconosce che la nomina del DPO non è obbligatoria al di fuori delle ipotesi indicate dall’art. 37, ma raccomanda fortemente di procedere comunque alla designazione qualora:

  • le attività svolte comportino trattamenti complessi e continuativi;
  • siano trattati dati su larga scala;
  • vi siano categorie particolari di dati ex art. 9 GDPR;
  • gli interessati coinvolti siano in condizione di vulnerabilità (es. minori, persone fragili, assistiti sanitari, ecc.);
  • si tratti di trattamenti potenzialmente idonei a incidere in modo significativo sui diritti e le libertà degli interessati.

In tali casi, la nomina del DPO rappresenta una misura organizzativa rilevante anche ai fini della valutazione dell’idoneità del Responsabile da parte del Titolare, secondo quanto previsto dall’art. 28. L’Autorità ribadisce, inoltre, che la mancata nomina deve essere giustificata e documentata, nell’ottica del principio di accountability.

Estensione interpretativa dell’art. 37: verso un obbligo funzionale

L’elasticità dell’art. 37 consente di ipotizzare un’estensione interpretativa del suo campo di applicazione, specie nei contesti in cui il Responsabile esterno, pur non essendo un soggetto pubblico, agisca per conto della P.A. e tratti dati personali in misura tale da assumere rilevanza paragonabile a quella del Titolare.

In conclusione, sebbene l’attuale formulazione dell’art. 37 del GDPR non sembri imporre un obbligo giuridico stringente di nomina del DPO a carico dei responsabili esterni del trattamento, tale esclusione normativa risulta in evidente contrasto con la complessità e la delicatezza delle attività concretamente svolte da tali soggetti. Infatti, quando il responsabile agisce per conto della P.A. trattando dati personali di migliaia di interessati – spesso appartenenti a categorie vulnerabili o riferibili a dati particolarmente sensibili – la funzione di garanzia del DPO assume una valenza sostanziale, al di là della sussistenza formale dei requisiti previsti dalle lett. b) e c) dell’art. 37.

Alla luce di tali considerazioni, risulta auspicabile una rilettura estensiva della norma, che consenta di ricomprendere tra gli obblighi di nomina anche i casi in cui, pur non ricorrendo le ipotesi espressamente previste, la natura del trattamento e il ruolo fiduciario svolto dal responsabile impongano un presidio rafforzato a tutela dei diritti degli interessati. In questa prospettiva, appare urgente un intervento chiarificatore del legislatore europeo o, in alternativa, una presa di posizione più decisa da parte del Garante per la protezione dei dati personali, volta a colmare l’attuale incertezza applicativa e a promuovere una cultura della responsabilità condivisa nel trattamento dei dati personali.

The post Trattamento dati: serve il DPO anche se il GDPR non lo impone? appeared first on lentepubblica.it.

Leggi Di Più

Tag:

Articolo precedente

Guerra Commerciale: gli USA vogliono imporre una Tassa di attracco di 5,2 milion...

Articolo successivo

Imposta di successione: aspetti internazionali

Articoli Correlati