Trattamento di dati su larga scala: riflessi sulla nomina del DPO e spunti interpretativi

Il trattamento di dati su larga scala offre alcuni interessanti sunti interpretativi e ha alcuni importanti riflessi sulla nomina del DPO.

Il concetto di larga scala, infatti, rappresenta una delle (molteplici) novità introdotte dal Regolamento (UE) 2016/679 e ad esso sono legati attività molto rilevanti per il Titolare del trattamento dati.

Trattamento di dati su larga scala: conseguenze sulla data protection

In particolare, in presenza di un trattamento che richieda un “monitoraggio regolare e sistematico degli interessati su larga scala” oppure laddove si effettui un “trattamento, su larga scala, di categorie particolari di dati personali di cui all’art. 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10” il Titolare è tenuto, ai sensi dell’articolo 37, paragrafo 1, lettere b) e c) del Regolamento, a designare un Responsabile della protezione dei dati (RPD).

Analogamente, quando il Titolare tratta su larga scala categorie particolari di dati personali di cui all’art. 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10, oppure nel caso di sorveglianza su larga scala di una zona accessibile al pubblico, quest’ultimo ha l’obbligo di effettuare, prima di iniziare il trattamento, la valutazione d’impatto sulla protezione dei dati personali prevista dall’art. 35 del Regolamento (cosiddetta DPIA).

La nomina del RPD e la redazione di una DPIA costituiscono elementi centrali e caratterizzanti dell’intera architettura prevista dal Regolamento. Le eventuali valutazioni del Titolare non conformi al dettato ed allo spirito della normativa possono essere fonte di rilevanti conseguenze sotto il profilo sanzionatorio. Ad esempio, la violazione dell’obbligo di nomina del RPD oppure la mancata esecuzione di una DPIA nei casi in cui il trattamento è soggetto alla stessa o l’esecuzione in maniera errata di detta valutazione possono comportare una sanzione amministrativa pecuniaria pari a un importo massimo di 10 milioni di EUR oppure, nel caso di un’impresa, pari a fino al 2% del fatturato annuo globale dell’anno precedente, a seconda di quale dei due importi sia quello superiore.

A ben vedere, qualunque violazione della disciplina relativa alla protezione dei dati da parte del Titolare può generare conseguenze pregiudizievoli anche al di là degli aspetti più prettamente sanzionatori. Non è inverosimile, infatti, qualificare le predette violazioni come pratiche commerciali scorrette ai sensi della normativa prevista in materia di tutela del consumatore, oppure ipotizzare che imprese concorrenti ad un operatore che non rispetta la disciplina del Regolamento possano promuovere nei confronti di quest’ultimo un’azione per concorrenza sleale ex art. 2598 c.c. Impatto sanzionatorio e profili di responsabilità collegati a dette violazioni, poi, possono trovare ampio spazio nell’ambito di operazioni straordinarie^[1].

Possiamo dunque affermare che il termine di “larga scala”, in particolare modo quando viene abbinato al trattamento di “categorie particolari di dati personali” (Art. 9) e di “dati relativi a condanne penali e a reati” (Art. 10) oppure alla “sorveglianza di zone accessibili su larga scala”, ha delle conseguenze significative relativamente alla governance del sistema di protezione dei dati del Titolare, ed alle conseguenti responsabilità.

Trattamento di dati su larga scala: riflessi sulla nomina del DPO

Soffermiamoci ora sull’interpretazione e le ricadute pratiche che il concetto di larga scala ha relativamente alla nomina del RPD. Come noto, sul punto il Gruppo di Lavoro Articolo 29 (WP29) ha pubblicato un documento di rilevante portata interpretativa, le Linee guida sui responsabili della protezione dei dati – WP243^[2].

Il paragrafo 2.1.3 delle Linee guida contiene riflessioni essenziali ai fini della determinazione del perimetro di “trattamento su larga scala”, a cominciare dall’opportuna osservazione circa la mancanza di una espressa definizione del medesimo nel Regolamento.

Tuttavia, il Considerando 91 del Regolamento, posto sistematicamente nella parte dedicata alla valutazione d’impatto sulla protezione dei dati, auspica che detto istituto trovi applicazione in particolare nel caso di “trattamenti su larga scala, che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato”.

Gli elementi che qualificano un trattamento su larga scala sono la “notevole quantità di dati”, da individuarsi con riferimento all’ambito effettivo (anche da un punto di vista geografico) del potenziale bacino di interessati, l’idoneità ad “incidere” (vale a dire a provocare conseguenze pregiudizievoli) “su un vasto numero di interessati”, nonché a presentare un “rischio elevato” per i medesimi.

Il riferimento al concetto di “rischio elevato” richiama un ulteriore documento elaborato dal WP29 denominato “Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679” – WP248^[3].

Il documento WP248 individua i seguenti nove criteri da tenere in considerazione ai fini dell’identificazione dei trattamenti che possono presentare un “rischio elevato”:

1. valutazione o assegnazione di un punteggio, inclusiva di profilazione e previsione, in particolare in considerazione di “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato”;
2. processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente sulle persone;
3. monitoraggio sistematico degli interessati;
4. dati sensibili o dati aventi carattere altamente personale;
5. trattamento di dati su larga scala;
6. creazione di corrispondenze o combinazione di insiemi di dati;
7. dati relativi a interessati vulnerabili;
8. uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative;
9. quando il trattamento in sé “impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto”.

Risulta evidente che si tratta di valutazioni complesse e di difficile attuazione. Anche per tale motivo, le Linee guida sui responsabili della protezione dei dati tentano di dare il proprio contributo ai fini dell’individuazione in concreto di trattamenti su larga scala che impongono la nomina di un RPD, e raccomandano di prestare particolare attenzione ai seguenti elementi:

1. il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
2. il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
3. la durata, ovvero la persistenza, dell’attività di trattamento;
4. la portata geografica dell’attività di trattamento.

Il documento WP243, nel tentativo di delineare con maggior precisione la definizione di trattamento di dati su larga scala e di offrire un valido supporto per i Titolari, contiene una serie di esempi, quali il trattamento di dati relativi a pazienti svolto da un ospedale nell’ambito delle ordinarie attività; il trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio); il trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività^[4].

Sembra potersi affermare che, oltre ai casi ictu oculi rientranti nella relativa definizione (quali attività di profilazione svolte attraverso l’utilizzo di un sito internet) il concetto di larga scala debba essere determinato con riferimento a dati riferiti ad una rilevante quantità di interessati, non già (e necessariamente) in termini assoluti, bensì anche con riferimento ad una specifica categoria di interessati oppure con riferimento ad uno specifico bacino d’utenza.

Trattamento di dati su larga scala: spunti interpretativi

Così argomentando, dovrebbe essere considerato un trattamento su larga scala quello riferito ai dati rientranti nell’ambito della titolarità di una società che controlla la proprietà di svariate farmacie dislocate all’interno di una grande città, oppure di una multinazionale operante in un particolare contesto geografico nel quale offre lavoro ad un rilevante numero di residenti.

Un ulteriore criterio, suggerito anche dagli elementi e dagli esempi contenuti nel documento WP243, è costituito dalla possibilità (o meno) del titolare di comunicare con tutti gli interessati cui i dati sono riferiti. In altri termini, qualora il Titolare, nell’ambito di un trattamento svolto, dovesse constatare una difficoltà nel comunicare direttamente con tutti gli interessati appartenenti ad una determinata categoria (ad esempio perché ha necessita di informare i medesimi circa un’ulteriore finalità del trattamento) dovrebbe seriamente valutare la possibilità di trovarsi di fronte ad un trattamento su larga scala, con conseguente obbligo di nomina del RPD.

Conclusioni

Da ultimo, si ritiene appropriato in tale sede evidenziare che il concetto di “larga scala” ha visto incrementare la propria rilevanza anche sotto un ulteriore (e differente) profilo.

Esso, infatti, qualifica alcuni specifici illeciti penali che, come noto, hanno ricevuto una nuova formulazione con il Decreto Legislativo n. 101/2018, che ha adeguato la normativa del D.lgs. n. 196/2003 (cd. Codice Privacy) al Regolamento.

In tale ambito, è senz’altro di portata innovativa l’introduzione del reato di “comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala”, che punisce chiunque comunichi o diffonda un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala (art. 167 bis Codice Privacy). La pena prevista è la reclusione da uno a sei anni.

Un’ulteriore ipotesi di reato è prevista dall’art. 167 ter Codice Privacy ed è rubricata come “acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala”. La condotta sanzionata penalmente consiste nell’acquisizione con mezzi fraudolenti di un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala. La pena prevista è la reclusione da uno a quattro anni.

Le due fattispecie sono caratterizzate dalla presenza del concetto di trattamento su larga scala e, considerate le gravi conseguenze che possono scaturire dall’accertamento di responsabilità penali di tale entità, è agevole prevedere che anche la giurisprudenza penale offrirà il proprio contributo al fine di una definizione della nozione di larga scala all’attuale contesto fattuale e tecnologico.

NOTE

1. In questo senso vedi A. Fedi, Diritto dell’impresa e protezione dei dati personali, in Le Società, n. 10/2018. ↑
2. Il documento è stato adottato il 13 dicembre 2016 e successivamente modificato in data 5 aprile 2017. ↑
3. Il documento è stato adottato il 4 aprile 2017, successivamente modificato in data 4 ottobre 2017, e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018. ↑
4. Ulteriori esempi contenuti nel documento sono il trattamento di dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile del trattamento specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food; il trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale, oppure il trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici. ↑