Le linee Guida sul Data Protection Officers – GDPR [parte 3]

Linee Guida sul Data Protection Officers - DPO

Le linee Guida sul Data Protection Officers – GDPR [parte 3]

Definizione di attività principale, cosa dicono le linee guida sul Data Protection Officers?

Terzo capitolo di “ragionamento” sulle linee guida  sul Data Protection Officers pubblicate dal WP29 il 13 dicembre scorso, che qui trovare la  versione ufficiale in inglese mentre qui le Linee Guida tradotte in italiano  da me tradotte e corrette poi dall’ottimo SF, che ringrazio, , che ricordo vogliono essere esclusivamente un utility tool.

Uno delle domande a cui mi trovo spesso a rispondere è: “il GDPR parla di “attività principale” riferendosi al trattamento dei dati, per stabilire l’obbligatorietà della nomina del DPO. Ma la mia attività non è trattare dati, faccio altro, quindi non solo obbligato vero? “

E la risposta arriva puntuale dalle nostre linee guida. Che fanno due esempi calzanti e cioè, a pagina 6-7 potete trovare:

” … le “attività principali” non devono essere interpretate come escludenti delle attività in cui il trattamento dei dati costituisce una parte integrante dell’attività del Titolare o del Responsabile. “

Da qui scaturiscono i due esempi chiarificatori, che eliminano completamente tutti i dubbi, sopratutto per chi cerca sempre scappatoie tra le pieghe delle regole:

” Per esempio, l’attività principale di un ospedale è di fornire assistenza sanitaria. Tuttavia, un ospedale non potrebbe fornire assistenza sanitaria in modo sicuro ed efficace senza elaborare i dati sanitari, come le cartelle sanitarie dei pazienti. Pertanto, l’elaborazione di questi dati dovrebbe essere considerata una delle attività principali dell’ospedale e gli ospedali devono quindi designare DPO. “

E ancora, un esempio ad HOC per  le attività private:

” Come un altro esempio, una società di sicurezza privata effettua la sorveglianza di un certo numero di centri commerciali e di spazi pubblici privati. La sorveglianza è l’attività principale dell’azienda, che a sua volta è legata indissolubilmente al trattamento dei dati personali. Pertanto, anche questa società dovrà designare un DPO. “

“… la mia “attività principale” non è mica trattare dati, ma è lavorare, quindi il DPO non lo devo nominare, vero? ” E invece …

Data Protection Officers DPODiventa quindi chiaro leggendo le linee guida sul Data Protection Officers, il concetto generale per la nomina del DPO: se il trattamento del dato è legato indissolubilmente all’attività principale e ne determina l’esecuzione, la nomina del  DPO diventa necessaria ed obbligatoria.

Come diventa altrettanto evidente che, diversamente  per tutte le aziende che svolgono alcune attività ordinarie, ad esempio, pagare i loro dipendenti o trattare dati attraverso attività di supporto IT standard, si tratta di funzioni di supporto necessarie per il “core activity” dell’organizzazione.
Queste attività sono necessarie o essenziali e sono solitamente funzioni accessorie, quindi non necessitano di nomina di DPO.

Poi si apre il discorso, della definizione di  trattamento dei dati effettuato su “Larga scala”, che affronteremo tra un paio di giorni.

Condividi questo post

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *