Con un provvedimento del 1° aprile 2020, l’Autorità spagnola per la protezione dei dati personali (“Agencia Española Protección Datos” – “AEPD”) ha sanzionato una società iberica di consegne a domicilio, realizzate attraverso prenotazioni su una piattaforma on line, utilizzata da migliaia di clienti, per omessa nomina del Data Protection Officer (“DPO” o “Responsabile della protezione dei dati”) ai sensi dell’articolo 37 del Regolamento (UE) 2016/679 in materia di protezione dei dati personali (“Regolamento”).
La figura del DPO rappresenta uno dei profili di novità introdotti dal Regolamento. Gli articoli 37, 38 e 39, infatti, contengono, rispettivamente, le prescrizioni in merito (i) alla designazione del DPO (ii) alla posizione che tale figura assume all’interno di una organizzazione nonché (iii) all’indicazione dei compiti minimi che devono essergli assegnati tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità dei trattamenti posti in essere dal Titolare o dal Responsabile del trattamento.
Tuttavia, stando ad una interpretazione letterale del Regolamento, non tutti i Titolari o i Responsabili del trattamento sono obbligati a designare tale figura.
Tale linea interpretativa nasce dal contenuto dell’articolo 37 secondo il quale si deve procedere con la nomina del DPO ogniqualvolta: “(i) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico (…)”, “(ii) le attività principali (…) consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala” ovvero “(iii) le attività principali (…) consistono nel trattamento, su larga scala, di categorie particolari di dati personali (…) o di dati relativi a condanne penali (…)”.
Sin dalle prime interpretazioni del Regolamento, tali ipotesi hanno intavolato numerosi dibattiti con conseguenti posizioni differenti da parte della dottrina. Le espressioni “larga scala” “monitoraggio regolare e sistematico degli interessati sul larga scala” sottendono dei profili di genericità che spesso, nell’applicazione operativa del Regolamento, possono determinare dei dubbi interpretativi.
Sul punto, il provvedimento dell’AEPD in esame assume profili di rilevanza non solo perché contiene una delle prime sanzioni erogate dall’entrata in vigore del GDPR in seguito alla rilevazione della mancata nomina del DPO ma, soprattutto, perché rappresenta un precedente nella definizione e demarcazione del concetto di “larga scala”. L’Autorità spagnola, infatti, mette in luce la rilevanza numerica dei soggetti interessati dal trattamento quale condizione utile a determinare il generico concetto di larga scala.
In ambito nazionale, fermo restando quanto prescritto dal Regolamento, il Garante per la protezione dei dati personali ha precisato come sia possibile nominare un DPO anche nelle ipotesi in cui non si rientri nei casi imposti dal Regolamento. Alla luce di tale chiarimento, infatti, è buona prassi motivare e documentare puntualmente le ragioni per le quali il Titolare, o il Responsabile del trattamento, assumono la decisione di individuare, o meno, tale figura. Si ricorda, infine, che la violazione degli obblighi previsti dai citati artt. 37, 38 e 39 del Regolamento comporta, ai sensi dell’art. 83, comma 4, del Regolamento stesso la comminazione di una sanzione amministrativa pecuniaria fino a euro 10.000.000, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente.
Altri insights correlati:
Le FAQ del Garante sul Responsabile della Protezione dei Dati (RPD) in ambito privato