Le 3 linee guida approvate del Gruppo di Lavoro Articolo 29

Nell’edizione di ICT Insider gennaio 2017 avevamo anticipato che il Gruppo di Lavoro Articolo 29 dei Garanti Privacy europei (“A29WP”) aveva pubblicato 3 linee guida che chiarivano alcuni aspetti inerenti al Regolamento generale sulla protezione dei dati (“RGPD”) che avevano destato perplessità fin dalla loro pubblicazione. Nel Plenary meeting di questo mese, l’A29WP ha aggiornato ed approvato le seguenti linee guida:
1 Il Data Protection Officer (DPO) (Art. 37);
2 Il diritto alla portabilità dei dati (Art. 20);
3 La determinazione dell’autorità di controllo capofila (Art. 56).

In questa edizione di ICT Insider 2017, affrontiamo il contenuto dei chiarimenti approvati dall’A29WP.

Sul Data Protection Officer
Scopo delle presenti linee guida è chiarire come applicare le previsioni del RGPD in merito alla figura del Data Protection Officer (“DPO”).
Il concetto di DPO non è nuovo ed è stato già sviluppato in alcuni Stati membri dell’Unione, quale, ad esempio, la Germania. Secondo l’opinione dell’A29WP, questa figura è cruciale nella costruzione di una privacy veramente basata sul concetto di accountability e, nonostante dal punto di vista normativo la sua nomina sia obbligatoria solo in alcune ipotesi (si veda infra), l’opportunità della sua presenza si estenderebbe ben oltre tali necessarie casistiche.
Secondo quanto previsto dall’Art. 37 del RGPD, la figura del DPO risulta obbligatoria in soli tre casi:
Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:
a) il trattamento è effettuato da un’autorità̀ pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.
Le linee guida forniscono chiarimenti su alcuni concetti chiave usati nel RGPD che devono essere ben compresi e tradotti nella pratica per poter essere correttamente applicati.

“Autorità pubblica o organismo pubblico”
L’A29WP specifica che il RGPD non contiene una definizione di tali espressioni, ma a livello interpretativo considera opportuno che queste vengano ricondotte alle leggi nazionali dei singoli Stati. Si sottolinea inoltre che un incarico pubblico potrebbe essere espletato anche da organi diversi di natura privatistica, ma rientrare comunque nella definizione sopra indicata (ad esempio, nel caso di trasporti pubblici o forniture di energia). Anche se in questo caso l’obbligatorietà non sussisterebbe, l’A29WP raccomanda comunque la nomina del sopra citato organo.

“Attività principale del titolare o del responsabile”
Secondo l’interpretazione data dall’A29WP, il concetto di “attività principale” (“core activities” nella versione inglese) non deve essere intesa come l’attività esclusiva rispetto alla quale il trattamento dei dati sia secondariamente posto in essere, ma anche come una attività non principale, in cui il trattamento dei dati sia parte inestricabile. Per esempio, attività principale di un ospedale è fornire cure mediche, ma ciò non potrebbe essere efficacemente eseguito senza il trattamento dei dati sensibili dei pazienti. Di conseguenza, pur non essendo il trattamento effettuato l’attività principale dell’ospedale, esso richiede comunque la nomina del DPO.

“Larga scala”
Ancora una volta il RGPD non fornisce una definizione di cosa si debba intendere per “larga scala” (nonostante i richiami contenuti in alcune sue parti come nel considerando 91).
Dal punto di vista interpretativo, una serie di elementi andrebbero considerati per poter ricavare tale nozione, quali il numero degli interessati coinvolti, il volume dei dati trattati, la durata delle attività di trattamento, l’estensione geografica del trattamento etc.
Un esempio di larga scala può consistere nel trattamento posto in essere da un singolo ospedale, nel tracciamento tramite carte di viaggio di un sistema di trasporto pubblico, nel trattamento di geolocalizzazione in tempo reale dei clienti di una catena di fast food per finalità statistiche, nelle attività di un istituto assicurativo o bancario.
Un esempio, invece, di ciò che non costituisce larga scala è il trattamento di dati dei pazienti da parte di un singolo medico o i dati giudiziali trattati da un singolo avvocato.

“Monitoraggio regolare e sistematico”
Ancora una volta, ciò non è espressamente definito, ancorché richiamato altrove (nel considerando 24) ed include sicuramente (ma non solo) il tracciamento e la profilazione su internet delle abitudini di consumo degli utenti.

A29WP interpreta ‘regolare’ nel senso di uno o più dei seguenti elementi: i) in corso o che si verifica a intervalli specifici per un determinato periodo; ii) ricorrente o ripetuto in tempi fissi; iii) costante o periodico. “Sistematico” nel senso che si verifica un sistema, una strategia, preorganizzato, organizzato o metodico ovvero che si svolgono nell’ambito di un piano generale per la raccolta dei dati.

Rispetto alla prima bozza, le linee guida approvate specificano ulteriori aspetti sul ruolo e le funzioni del DPO. Più precisamente:

Reperibilità: Il DPO deve essere disponile in loco o attraverso linee di comunicazione (e-mail, hotline) facilmente conoscibili e fruibili dagli interessati nella loro lingua. Nel caso si optasse per la presenza fisica, l’A29WP raccomanda che il DPO sia stabilito nel territorio, ammettendo tuttavia che in alcuni casi possa essere stabilito anche al di fuori.

Professionalità ed esperienza: il DPO deve avere: competenza sulla normativa nazionale ed europea sulla protezione dei dati, tra cui una comprensione approfondita del RGPR; comprensione dei trattamenti di dati svolti; comprensione delle tecnologie dell’informazione e della sicurezza dei dati; conoscenza del settore aziendale e dell’organizzazione; capacità di promuovere una cultura della protezione dei dati all’interno dell’organizzazione. Tale requisito si applica anche al DPO esterno (es. uno studio legale) e a tutti i suoi componenti.

Risorse e indipedenza: il DPO deve avere: risorse sufficienti in termini economici e di tempo per svolgere le proprie funzioni; accesso ai servizi e alle strutture che trattano dati; supporto attivo da parte del management e formazione continua. Per svolgere la propria funzione non deve inoltre: ricevere istruzioni relativi alle proprie funzioni dal titolare o dal responsabile; essere licenziato o penalizzato per aver svolto le proprie funzioni; essere in conflitto di interesse con altre proprie funzioni o compiti (es. CEO, CFO, Head of Marketing, HR or IT teams).

Funzioni: il DPO ha il compito di: identificare, analizzare e verificare la compliance dei trattamenti svolti; informare e consigliare il titolare o il responsabile sulle azioni da intraprendere tra cui a titolo esemplificativo se intraprendere un Data Protection Impact Assessment, quale metodologia seguire, se esternalizzare questa attività e se le rispettive risultanze sono corrette.

Per saperne di più, clicca qui

Sul diritto alla portabilità dei dati
Premessa principale alle linee guida sul diritto alla portabilità dei dati previsto dall’Art. 20, è la sua distinzione dagli altri diritti previsti dal RGPD.
Sottolineando la portata innovativa dell’Art.20 del RGPD, l’A29WP spiega che esso si differenzia dal diritto di accesso in quanto “permette agli interessati di ricevere i dati personali forniti al titolare, in un formato strutturato, comunemente usato e leggibile dalla macchina, e di trasmetterle ad un altro titolare”. Il diritto alla probabilità dei dati sancito dal RGPD è inoltre diverso dal diritto di accesso garantito ai sensi della Direttiva sulla protezione dei dati 95/46/CE, in quanto in quest’ultima i soggetti erano costretti a ricevere le informazioni richieste nel formato scelto dal titolare del trattamento. Questo nuovo diritto sembra essere più esaustivo, dando agli individui la possibilità di trasferire e copiare i propri dati personali facilmente da un ambiente IT ad un altro, il che è di fondamentale importanza per una migliore concorrenza tra imprese.
Gli elementi principali del diritto alla portabilità dei dati sono stati chiariti dal A29WP nei punti che seguono.
1. La portabilità deve garantire:
il diritto a ricevere e conservare i dati personali su un dispositivo o in un cloud privato per uso personale, senza necessariamente trasferirli ad altro titolare;
il diritto di trasmettere i propri dati ad un altro titolare “senza impedimenti”, per promuovere l’innovazione e la condivisione dei dati in modo sicuro, con il controllo dell’interessato. In tale contesto, il titolare non sarà responsabile per il rispetto delle norme sulla protezione dei dati personali da parte dell’altro titolare, ma dovrà impostare misure di salvaguardia per garantire che agisca effettivamente per conto del soggetto interessato e che i dati trasmessi siano quelli che l’interessato desidera comunicare. Diversamente, il nuovo titolare non è obbligato ad accettare e trattare i dati ricevuti: ove decida di farlo, dovrà trattare solo i dati necessari e rilevanti per l’erogazione del servizio;
la salvaguardia e tutela degli altri diritti, restando esclusa l’automatica cancellazione dei dati.
2. Il diritto alla portabilità dei dati si applica quando:
ricorrono le condizioni di cui all’art. 20.1.a del RGPD, non anche quando i dati sono trattati, ad esempio, per adempiere all’obbligo di prevenzione di reati da parte di istituti finanziari.
3. I dati personali oggetto della portabilità sono:
quelli che riguardano il soggetto interessato, restando esclusi quelli anonimizzati. Quando i dati si riferiscono a terzi (es. registri di chiamate in ingresso ed uscita) non bisogna tuttavia applicare un’interpretazione oltremodo restrittiva della norma;
quelli forniti dal soggetto interessato, compresi quelli che derivano dall’osservazione delle sue attività, come i dati grezzi processati da oggetti connessi o smart meter, attività di log, uso di siti o attività di ricerca. Rientrano quindi i dati (i) forniti attivamente e consapevolmente dagli interessati (es.: indirizzi email, username, età, ecc.) e (ii) rilevati dalle attività degli utenti dall’uso dei servizi o dei dispositivi (dati di traffico, dati di posizione, cronologia, dati grezzi come il battito cardiaco rilevato da un dispositivo indossabili). In generale, la locuzione forniti dal soggetto interessato deve essere interpretata in senso ampio, ma deve escludere i dati “derivati” e “dedotti”, che includono quelli creati dal service provider.
4. In forza dei principi generali che regolano l’esercizio dei diritti:
occorre informare gli interessati del diritto alla portabilità dei dati, distinguendo tale diritto dagli altri riconosciuti dalla normativa: l’A29WP raccomanda quindi di indicare le differenti tipologie di dati che si possono ottenere esercitando i propri diritti;
per l’identificazione degli interessati, il titolare non può richiedere dati non rilevanti e non necessari;
è buona prassi definire il periodo entro il quale la richiesta di portabilità dei dati possa essere generalmente riscontrata;
occorre sempre e in ogni caso riscontrare le richieste degli interessati;
i costi complessivi per implementare i meccanismi della portabilità dei dati (es: tramite API) non devono essere addebitati né usati per negare l’esercizio di tale diritto.
5. Per trasmettere i dati:
i titolari devono valutare due percorsi differenti e complementari: (i) la trasmissione diretta di database o di parti di essi; (ii) strumenti automatici per consentire l’estrazione dei dati (ad esempio: messaggi sicuri, server SFTP, Web API, portali web);
devono essere scelti formati idonei a garantire un ampio livello di portabilità dei dati, escludendo quelli che richiedono costi di licenza. Ove non siano previsti formati di uso comune, occorre usare formati disponibili (es.: XML, JSON, CSV), insieme a metadati per garantire i maggior livelli di granularità e di utilizzo dei dati trasmessi;
occorre realizzare sistemi interoperabili;
occorre adottare misure per ridurre i rischi (es.: sospensione della trasmissione se vi è il sospetto di compromissione di un account, autenticazione tramite token), senza costi aggiuntivi;
occorre informare gli interessati circa le misure da adottare (es.: strumenti di crittografia) per la tutela dei dati nei propri sistemi.
Per saperne di più, clicca qui

Sull’individuazione dell’autorità capofila
Come ricorda fin subito l’A29WP, le linee guida inerenti le modalità di inquadramento dell’autorità di controllo capofila sono da prendere in considerazione solamente nel caso di trattamenti di dati transfrontalieri. Operazione preliminare è quindi quella di stabilire se ci si trova difronte ad un trattamento transfrontaliero.
Secondo l’Art. 4(23) del RGPD “trattamento transfrontaliero” potrebbe significare sia:
– il trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell’Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure
– il trattamento di dati personali che ha luogo nell’ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell’Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro.
Sul concetto di trattamento che ‘incide in modo sostanziale’ sugli interessati, il RGPD però non dà alcun chiarimento. Al tal riguardo, le linee guida affermano che le autorità di controllo interpreteranno “incide in modo sostanziale” caso per caso, tenendo conto dei seguenti elementi: il contesto in cui è effettuato il trattamento, il tipo di dati trattati, le finalità del trattamento e le indicazioni su come sono eseguite le operazioni di trattamento. Un trattamento di dati che non incida in modo sostanziale sull’interessato non rientrerà nella valutazione dell’elemento transfrontaliero, come indicato dalla seconda parte della definizione sopra citata.
Un’ulteriore aspetto di cui tenere conto: le linee guida evidenziano come individuare i titolari e i responsabili del trattamento con riferimento ai loro stabilimenti nel territorio dell’Unione.
Il criterio fissato nel GDPR indica che lo stabilimento principale è costituito dalla sede dell’’amministrazione centrale del titolare/responsabile nell’UE in cui sono prese le decisioni relative alle finalità ed ai mezzi del trattamento dei dati personali, anche se “la presenza o l’uso di mezzi tecnici e tecnologie di trattamento di dati personali o di attività di trattamento non costituiscono di per sé lo stabilimento principale né sono quindi criteri determinanti della sua esistenza” “(Considerando 36 del RGPD).
Per quanto riguarda il titolare del trattamento, ai sensi dell’articolo 56 del RGPD, l’autorità di controllo del paese in cui il titolare ha sede lo stabilimento principale sarà l’autorità di controllo capofila.
I fattori che seguono sono indicati dalle linee guida come utili per determinare lo stabilimento principale del titolare del trattamento:
– Esiste una unica sede nel territorio dell’UE?
Se la risposta è affermativa, e se il trattamento incide in modo sostanziale o rischia di incidere in maniera sostanziale su interessati in più di uno Stato membro, l’autorità di controllo capofila sarà l’autorità di controllo del luogo di quel singolo stabilimento.
– Esiste una sede principale nel territorio dell’UE?
Se è questo il caso, bisognerà interrogarsi su quali sono i ruoli e le decisioni circa le finalità e gli strumenti del trattamento prese nella sede principale, e se sono concentrati qui i poteri decisionali sulle attività di trattamento.
Per quanto riguarda invece il responsabile del trattamento, il RGPD permette anche ai responsabili con sedi in più di uno Stato membro di beneficiare del sistema di ‘one-stop-shop’.
Le linee guida sottolineano anche come potrebbero verificarsi situazioni ‘borderline’ e complesse in cui è difficile individuare lo stabilimento principale o determinare dove vengono prese le decisioni riguardanti le attività di trattamento dei dati. Questo ad esempio nel caso in cui vi è un’attività di trattamento transfrontaliera e il responsabile è stabilito in diversi Stati membri, ma non c’è una sede centrale nell’UE ed in nessuno degli stabilimenti europei sono prese decisioni sui trattamenti effettuati, come quando tali decisioni sono assunte esclusivamente al di fuori della UE.
In tali circostanze, le linee guida indicano come metodo da seguire la decisione autonoma del titolare sulla designazione della sede che agirà da stabilimento principale ai fini della individuazione dell’autorità capofila, se effettivamente alcune decisioni sul trattamento sono prese in quella sede. In alternativa, sarà l’autorità di controllo competente a prendere questa decisione. Un’ulteriore questione si potrebbe presentare nel caso in cui sia il titolare che il responsabile abbiano più sedi in Paesi diversi tra loro, poiché anche il responsabile del trattamento beneficia degli effetti del one-stop-shop se dispone di più sedi in più Stati membri: in tali casi, l’autorità di controllo competente sarà l’autorità di controllo capofila del titolare (Considerando 36 del RGPD).
L’A29WP, infine, elenca anche una serie di domande dettagliate, utili per individuare l’autorità di controllo capofila in caso di dubbio.
Per saperne di più, clicca qui