NEWS: Esame del decreto di coordinamento per l'ITALIA al GDPR rimandata al 21 agosto 2018
larga-scala-regolamento-europeo

Regolamento Europeo Privacy e concetto di Larga Scala

Leggendo il nuovo REGOLAMENTO per la protezione dei dati GDPR 2016/679 si incontra un concetto piuttosto nuovo: il concetto di LARGA SCALA. Il tema viene ripreso in 13 punti, 8 solo nei considerando. Gli aspetti su cui vogliamo concentraci sono principalmente 2: la nomina DPO e la redazione della DPIA. Come sono collegati DPO e DPIA alla larga scala?

DPO e LARGA SCALA

Come abbiamo imparato, l’ART 37 del GDPR ci indicano come e quando nominare un DPO – DATA PROTECTION OFFICER.

Il punto 1 definisce che:

Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:

a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure

c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.

E’ dunque scritto molto chiaramente che alcuni limiti tra devo nominare un DPO/NON devo nominare un DPO sono dati dal trattamento effettuato o meno su larga scala

DPIA E LARGA SCALA

L’articolo 35 del Regolamento, dedicato alla redazione della DPIA – Data Protection Impact Assessment – specifica al suo punto 2:

Il titolare del trattamento, allorquando svolge una valutazione d’impatto sulla protezione dei dati, si consulta con il responsabile della protezione dei dati, qualora ne sia designato uno. 3. La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti:

a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;

b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o

c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Anche in questa valutazione, in 2 punti su 3, torna l’idea di Larga scala e la conseguente necessità di adempiere o meno ad un obbligo.

Ma cosa si intende con Larga Scala?

E qui arriviamo al punto dolente…. se ne parla tanto ma una definizione oggettiva e quantificata di larga scala ancora non c’è.

Grazie alle linee guida rilasciate dal WP 29 () sappiamo per certo che il concetto andrà legato a fattori quali:

  • Il territorio geografico – quanto ampio è il territorio all’interno del quale effettuo il trattamento
  • Il volume e la tipologia dei dati trattati
  • La percentuale di interessati sul totale di una popolazione di riferimento
  • La durata del trattamento

Sappiamo inoltre che il concetto non esiste per i singoli professionisti come i medici, informazione che deduciamo dal considerando 91 che dice “Il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato. In tali casi non dovrebbe essere obbligatorio procedere a una valutazione d’impatto sulla protezione dei dati”.

Al contrario possiamo considerare con buona certezza che un ospedale, un’azienda di trasporto pubblico, un’azienda di telefonia, un’assicurazione, un soggetto che fa profilazione (vedi motore di ricerca), chi monitora mezzi tramite GPS, la GDO che raccoglie dati tramite le tessere fedeltà… siano realtà che rientrano appieno nella LARGA SCALA.

[Linee guida WP 29 adottate il 13 dicembre – versione emendata e adottata in data 5 aprile 2017 – punto 2.1.3 – SCARICA]

L’impostazione sicuramente più prudente è quella che, qualora ci fosse il dubbio, si consideri di procedere con tutti gli obblighi previsti.

Dimostrare di non essere su Larga Scala

Qualora un titolare definisca che i propri trattamenti non sono da considerare su Larga Scala, è tenuto a motivare la propria scelta e a poter dimostrare, in caso di controlli, che la sua valutazione si è basata su evidenze oggettive e concrete. In questo momento appare più che mai difficile farsi carico di questo “onere della prova” poiché così come è complesso definire quando si rientra nella larga scala, appare altrettanto difficile dimostrare il contrario.

Ci si pone quindi la domanda se non sia più semplice procedere con la redazione del Registro dei trattamenti e della DPIA piuttosto che trovare un sistema per dimostrare che non si sia tenuti a farlo.

L’aspettativa è comunque quella che col tempo, con l’arrivo di nuovo linee guida e di sentenze, si arrivi a delineare con maggior precisione i limiti della LARGA SCALA.

 

Chiara V

About Chiara V

La mia storia lavorativa ha un background nel web e nella comunicazione. Questo mi consente di associare le competenze legate alla normativa privacy e quelle legate al mondo internet.