Ogni organizzazione che si sia correttamente adeguata al GDPR è certamente passata anche attraverso la valutazione dell’obbligo di nomina del Data Protection Officer. Nel 2018, dopotutto, l’introduzione di questa nuova figura professionale era vissuta come una delle principali novità del Regolamento Europeo. Così, c’è chi ha designato il proprio DPO in quanto soggetto all’obbligo, chi l’ha fatto in senso volontario, e chi ha reputato di poterne fare a meno. Insomma, tutte le decisioni in merito dovrebbero essere state prese già da tempo.
Perché, allora, tornare su questo punto oggi, a più di 4 anni dall’applicazione del GDPR? I motivi sono principalmente due.
Innanzitutto, l’adempimento non è isolato, ma continuativo: ad esempio, per chi ha già proceduto alla nomina, è il caso di assicurarsi periodicamente di non trovarsi in situazioni di illecito, conflitti di interesse (vedi l’approfondimento: Data Protection Officer interno e conflitto di interessi) e di aver ricevuto servizi e prestazioni adeguate (per qualche spunto: L’attività del DPO raccontata da un DPO: consigli pratici per svolgere i compiti previsti dal GDPR). Ma è soprattutto a chi si reputi escluso dall’obbligo, che ci rivolgiamo. La sussistenza delle valutazioni svolte va verificata regolarmente. E ogni aggiornamento dovrebbe tenere conto delle modifiche legislative e della naturale evoluzione delle attività della propria azienda.
In secondo luogo, alcuni dei criteri d’obbligo (in particolare: monitoraggio regolare e sistematico e larga scala) previsti dall’Art. 37 GDPR, sono apparentemente semplici, ma spesso di difficile interpretazione nella pratica reale. Il rischio è che, ancor più negli aggiornamenti periodici, questi criteri possano essere trascurati, sottovalutati, o soggetti a interpretazioni guidate da interessi diversi. Facciamo un po’ di ordine nelle idee, stimolando qualche riflessione attraverso la simulazione di una situazione verosimile.
CASO ESEMPIO
Una Società italiana gestisce un e-commerce per la vendita di beni di consumo. Ha sempre escluso la necessità di designare un DPO: i dati dei consumatori vengono da sempre trattati per la mera gestione delle operazioni di vendita e la consegna dei prodotti, senza che sia mai avvenuta la raccolta di categorie particolari di dati.
Nell’ultimo anno, sono stati selezionati e assunti molti nuovi professionisti per potenziare le attività di marketing digitale, integrando inoltre nella piattaforma degli strumenti di elaborazione automatica delle informazioni sugli acquisti, invio di e-mail con offerte e promozioni personalizzate basate sui prodotti acquistati. Il flusso di vendita è stato aggiornato e monitorato per fare in modo di acquisire i corretti consensi al trattamento, e il team tecnico ha collaborato al progetto per implementare idonee misure di sicurezza informatica. Non è chiaro, tuttavia, se queste novità determinino l’obbligo di nomina di un DPO.
Indice
L’obbligo di nomina del DPO per le Aziende private
L’art 37 del GDPR, le Linee Guida WP243 e le FAQ del Garante sul Responsabile della Protezione dei Dati (RPD) Doc-Web 8036793, saranno la nostra bussola. In ambito privato, scatta l’obbligo di nomina del DPO quando tra le attività principali vi sono trattamenti:
- che per loro natura, ambito di applicazione o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala (art. 37.1.b GDPR)
- di dati particolari o di dati relativi a condanne penali e a reati su larga scala. (art. 37.1.c GDPR)
Proviamo a declinare i concetti chiave.
Quali sono le “attività principali”?
Le “attività principali” di un’azienda consistono nelle operazioni necessarie al raggiungimento dei suoi obiettivi primari. Nel caso esempio, l’elemento di novità, che può spostare l’esito delle precedenti analisi sull’obbligo di nomina del DPO, è rappresentato dai nuovi trattamenti di dati a scopo di marketing digitale. Rientrano nelle attività principali? Assolutamente sì, marketing e pubblicità sono senza dubbio un elemento centrale di una Società impegnata nel commercio online.
Diverso è il caso della selezione e delle conseguenti gestione e amministrazione del nuovo personale assunto. Oltre al fatto di non essere “nuovi” processi (e che saranno quindi stati senza dubbio presi in analisi in passato), trattasi di attività solo accessorie agli obiettivi primari dell’azienda.
La selezione e la gestione del personale, inoltre, sono gli unici processi aziendali in cui l’azienda si trova a raccogliere dati particolari o a trattare, in alcuni casi, dati giudiziari. Dal momento che, come si è visto, siamo fuori dalle attività principali, per stavolta non ci interessa approfondire quanto “importanti” siano state le nuove assunzioni. Siamo già in grado di escludere il criterio c) dell’Art. 37.1.c GDPR.
Possiamo mantenere il focus su ciò che ci interessa maggiormente, il marketing digitale, che ci espone alla possibilità di rientrare nell’Art. 37.1.b. Dobbiamo quindi valutare monitoraggio regolare e sistematico e la larga scala.
Come valutare il “monitoraggio regolare e sistematico”?
Il GDPR cita il concetto di “monitoraggio regolare e sistematico” senza definirlo. Per la sua interpretazione, ci vengono in aiuto le Linee Guida WP243, in cui si fa notare invece il riferimento al “monitoraggio del comportamento degli interessati”. Questo, ricomprende tutte le forme di profilazione su Internet per finalità di pubblicità comportamentale. Esattamente l’oggetto della nostra iniziativa.
Sviluppando il nostro caso, potremmo rilevare che le nostre attività di marketing digitale si svolgeranno in maniera ricorrente, tramite l’utilizzo di sistemi automatizzati e metodologie preconfigurate, e saranno svolte nell’ambito di una strategia commerciale più ampia.
Per restare nelle definizioni, il monitoraggio può essere “regolare” in ciascuno di questi casi: se avviene in modo continuo; se avviene a intervalli definiti per un determinato arco di tempo; se avviene in maniera ricorrente, o ripetuta a intervalli costanti; se avviene in modo costante a intervalli periodici. È poi “sistematico” in ciascuno di questi casi: se avviene per sistema; se è predeterminato, organizzato o metodico; se ha luogo nell’ambito di un progetto complessivo di raccolta di dati; se è svolto nell’ambito di una strategia.
Come valutare la “larga scala”?
Sciolto il nodo del monitoraggio, rimane il criterio più arduo. Un trattamento si svolge su “larga scala” quando riguarda una notevole quantità di dati personali, che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato.
Quantità notevole, vasto numero, rischio elevato… Il concetto resta piuttosto vago. La migliore fonte interpretativa sono le le Linee guida WP 248 in materia di valutazione d’impatto. Suggeriscono di tenere in considerazione: (a) la quantità di interessati; (b) il volume e la varietà dei dati oggetto di trattamento; (c) la durata e la persistenza dell’attività di trattamento; (d) la portata geografica dell’attività di trattamento.
Anche se, a seconda del contesto e delle circostanze del trattamento, potrebbero assumere un peso maggiore un minore, i quattro fattori dovrebbero essere presi, ciascuno, come elemento sufficiente, e non necessario, per fare scattare la larga scala. E, nel caso in esempio, l’obbligo di nomina del DPO.
Analizziamoli separatamente per l’ipotetica attività di marketing digitale.
Quantità di interessati
Il numero di soggetti interessati di un trattamento dati, può essere valutato in termini assoluti, o in termini percentuali rispetto alla popolazione complessiva di riferimento.
Per valutare i termini percentuali, occorrerà confrontare gli utenti iscritti al nostro e-commerce con la popolazione di riferimento (es. numero totale di persone adulte attive sul web nel territorio coperto dalle mie azioni di vendita). Ma quanto ci è utile questa operazione? Un e-commerce ci permette di aprire una vetrina su tutto il mondo, e (anche per imprese medio-piccole) il nostro target può facilmente diventare di portata internazionale. Come risultato, gli effettivi acquirenti, anche per un negozio ben avviato, difficilmente supereranno una percentuale comunque molto ridotta (<0,5%) rispetto al totale potenziale.
A meno che non si trovino dei criteri per ridurre il totale potenziale (es. affidandosi a definizioni più mirate in funzione del tipo di prodotto venduto), il numero assoluto di interessati sembra più idoneo a rappresentare l’entità del rischio per gli utenti di un e-commerce. L’ordine di migliaia di utenti potrebbe già reputarsi un numero elevato di interessati. Se non fosse sufficiente, ecco qualche spunto per ulteriori riflessioni:
- quali obiettivi si è posta l’azienda per la crescita del numero di iscritti all’e-commerce?
- qual è stato il trend degli ultimi anni sul numero di iscritti all’e-commerce?
- quanto è strettamente collegata l’attività analizzata (nel nostro caso, il marketing digitale) con l’obiettivo di aumentare del numero di iscritti (nel nostro caso, molto)
Volume e la varietà di dati personali
Nel caso ipotizzato, oltre ai dati già raccolti per la registrazione dei profili (es. anagrafiche, contatti, credenziali, ecc.) e la gestione degli acquisti (es. indirizzi di consegna, dati di fatturazione, ecc.), le nuove attività di marketing digitale potranno portare l’azienda a raccogliere ed elaborare nuove tipologie di informazioni, come i dati dei prodotti aggiunti al carrello, le wish-list degli utenti, i metadati di navigazione attraverso il catalogo prodotti, e così via.
La mancanza di informazioni sensibili potrà portare a considerare la varietà di dati tutto sommato moderata. Tuttavia, nel valutare questo criterio, sarà importante ricordare che il volume dei dati si ottiene dalla moltiplicazione del numero di interessati con le tipologie di dati raccolti per ciascun interessato (un po’ come avviene quando si è tenuti a calcolare i dati oggetto di una violazione, nei casi in cui si debba notificare un data breach al Garante). E a seconda dei dettagli e delle caratteristiche tecniche del nuovo flusso di dati, potremmo rilevare un rischio potenziale anche importante.
Durata e persistenza
Per analizzare questo fattore, l’azienda potrà focalizzarsi sul trattamento dei dati del singolo acquirente, in linea col termine di conservazione che sarà presentato nell’informativa, sotto la finalità di marketing digitale recentemente aggiunta.
Oppure, potrebbe decidere di allargare il focus sull’intero parco clienti. Da qui potrà emergere che la conservazione e l’elaborazione dei dati raccolti per la nuova attività, sostanzialmente, hanno carattere di continuità. Questa seconda prospettiva, più cauta, potrà facilmente spostare il giudizio verso la conferma della presenza della larga scala.
Portata geografica
La portata geografica di un trattamento connesso all’utilizzo di e-commerce risulta un fattore chiave. Per orientare la valutazione di questo fattore, la Società potrebbe partire dalla contestualizzazione del mercato di riferimento del proprio marchio. Regionale, nazionale, internazionale, intercontinentale? Avendo a che fare con il web, facilmente, l’area di interesse può facilmente varcare i confini minimi (secondo alcuni, da fissare nel contesto “regionale”, pressoché certamente superati da un progetto in rete).
Analogamente rilevante, la portata geografica del singolo trattamento. Ad esempio, le operazioni di marketing digitale si svolgono in maniera delocalizzata, grazie al supporto di soggetti terzi e fornitori Responsabili, magari con sedi estere?
Laddove le operazioni abbiano a riferimento un mercato particolarmente esteso, o determinino trasferimenti di dati extra UE, non potremo che considerare la portata geografica del trattamento perfettamente coerente col concetto di larga scala.
Considerazioni complessive sull’obbligo di nomina del DPO
Dall’analisi sul caso in esempio, abbiamo visto che un singolo nuovo trattamento può avere le caratteristiche per far scattare l’obbligo di designazione del DPO, precedentemente escluso. La Società del nostro caso esempio ha preso in esame l’introduzione di alcune attività di marketing digitale, concludendo di essere vincolata all’obbligo previsto dall’Art. 37.1.b) GDPR, per il monitoraggio regolare e sistematico degli interessati su larga scala.
Ma se, in un caso diverso, vogliamo fugare eventuali dubbi sull’effettivo perimetro d’obbligo di nomina del DPO, proviamo a porci anche queste domande:
- i nostri nuovi trattamenti hanno richiesto la redazione di una DPIA? Se sì, probabilmente dobbiamo considerare la necessità di un DPO (che, non a caso, ha un ruolo chiave per gli adempimenti connessi alla valutazione di impatto!)
- Qual è la posizione delle Autorità Garanti in merito al trattamento che abbiamo preso in esame? Sono state rese pubbliche particolari attenzioni o iniziative ufficiali volte a una maggior tutela degli interessati?
- Com’è posizionata l’azienda sul mercato? Ad es. è parte marginale di un Gruppo in cui il tema della protezione dei dati personali è già presidiato? O, viceversa, è proprietaria di altre Società controllate che potrebbero ottenere dei vantaggi indiretti dalla nostra nomina di un DPO?
- Nel calcolo costi/benefici, che impatto può avere la designazione di un DPO, e che vantaggi può portare, non solo in termini di conformità, ma anche per la reputazione aziendale e l’immagine generale della mia azienda?
Ricordando la posizione del Comitato Europeo che suggerisce un approccio di cautela, in cui si tenga conto dei vantaggi e delle opportunità connesse alla designazione del DPO: anche ove la designazione di un DPO non sia obbligatoria, può risultare utile procedere a tale designazione su base volontaria.