L’articolo 37 del Regolamento (UE) n. 679/2016 individua i casi ricorrendo i quali la nomina del Data Protection Officer è obbligatoria. Ci si riferisce alle seguenti ipotesi:
-
il trattamento è effettuato da un'Autorità pubblica o da un organismo pubblico, eccettuate le Autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
-
le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala.
Cosa deve intendersi con i termini “regolare” e “sistematico”?
Il monitoraggio degli interessati è regolare se:
a) avviene in modo continuo o a intervalli definiti per un arco di tempo definito;
b) ricorrente e ripetuto a intervalli regolari;
c) avviene in modo costante o a intervalli periodici.
Il monitoraggio degli interessati è sistematico se:
a) avviene per sistema;
b) è predeterminato, organizzato o metodico;
c) ha luogo nell’ambito di un progetto complessivo di raccolta di dati;
d) è svolto nell’ambito di una strategia.
Si rientra quindi nell’ipotesi di monitoraggio sistematico quando:
a) viene effettuata profilazione e scoring per finalità di valutazione del rischio (es. ai fini di valutazione del rischio creditizio, per definire i premi assicurativi, per la prevenzione delle frodi, per accertamento delle forme dii riciclaggio);
b) vengono utilizzate telecamere a circuito chiuso; ecc.
Per stabilire se un trattamento sia effettuato su “larga scala” i fattori da prendere in considerazione sono i seguenti:
a) il numero di soggetti interessati dal trattamento, in termini assoluti o espressi in percentuale sulla popolazione di riferimento;
b) il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
c) la durata, cioè la persistenza dell’attività di trattamento;
d) la portata geografica dell’attività di trattamento.
Non sono considerati trattamenti su larga scala i seguenti:
a) trattamento dei dati relativi a pazienti svolto dal singolo professionista sanitario;
b) trattamento di dati personali e reati svolti da un singolo avvocato/fiscalista/consulente del lavoro, ecc.; cosa diversa il caso in cui il singolo professionista faccia parte di uno Studio legale con diverse sedi sparse sul territorio, per cui si rientrerebbe nella fattispecie denominata “trattamento su larga scala”
3)le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10.
Le categorie particolari di dati personali di cui all'articolo 9 sono le seguenti:
a) l'origine razziale o etnica,
b) le opinioni politiche,
c) le convinzioni religiose o filosofiche,
d) l'appartenenza sindacale,
e) dati genetici,
f) dati biometrici intesi a identificare in modo univoco una persona fisica,
g) dati relativi alla salute ,
h) alla vita sessuale,
i) all'orientamento sessuale della persona.
Le categorie particolari di dati personali di cui all'articolo 10 sono le seguenti:
-
condanne penali
-
reati.