La loro adozione è comunque utile alla luce del principio generale di responsabilizzazione
Per il professionista che esercita in forma individuale non è in linea generale obbligatoria la nomina di un Responsabile della protezione dei dati (RPD) o Data Protection Officer (DPO) (artt. 37–39 del Regolamento).
La designazione di tale nuova figura, infatti, con funzioni principalmente di ausilio per l’osservanza della normativa (ad esempio, supportando audit in materia di protezione dei dati) e di contatto con l’autorità di controllo e con gli stessi interessati, è limitata, per i soggetti privati, ai seguenti casi: le attività principali del titolare o del responsabile del trattamento consistono in trattamenti che, tenuto conto di natura, ambito di applicazione e/o finalità, richiedono il monitoraggio “regolare e sistematico” degli interessati su larga scala e in trattamenti su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e a reati (artt. 9 e 10 del Regolamento).
Il Regolamento non precisa, però, cosa si intenda né per trattamento su “larga scala”, né per monitoraggio “regolare e sistematico” degli interessati; mentre le “attività principali” riguardano, così come evidenziato nel considerando n. 97, le “attività primarie” del titolare.
Con riguardo al primo punto, le Linee guida del Gruppo di lavoro ex art. 29 sul RPD indicano, fra i fattori determinanti, numero di soggetti interessati dal trattamento, volume dei dati e/o diverse tipologie di dati oggetto di trattamento, durata, ovvero persistenza, dell’attività di trattamento e portata geografica dell’attività di trattamento. A titolo esemplificativo, vengono esclusi i trattamenti di dati relativi a pazienti svolti da un singolo professionista sanitario e a condanne penali e reati svolti da un singolo avvocato.
In egual modo, si è espresso il Garante per la protezione dei dati personali, nelle FAQ 26 marzo 2018, con riguardo ai trattamenti effettuati, più genericamente, da “liberi professionisti operanti in forma individuale”.
Con riferimento al secondo punto, il Gruppo di lavoro ex art. 29 ha precisato che si intende per:
– “regolare”, fra l’altro, il trattamento che avviene in modo continuo;
– “sistematico”, fra l’altro, il trattamento predeterminato, organizzato o metodico.
Nella definizione vi rientrano, ad esempio, tutte le forme di tracciamento e profilazione su internet anche per finalità di pubblicità comportamentale, non esclusivamente riferibili all’ambiente on line.
Pertanto, alla luce delle indicazioni sopra illustrate, non scatterebbe l’obbligo di nomina del RPD per il professionista (ad esempio, il commercialista) che proceda al trattamento dei dati dei suoi clienti al fine dell’esecuzione della prestazione professionale, essendo – così come sottolineato dal CNDCEC e dalla FNC – di difficile integrazione sia il trattamento su larga scala di dati sensibili sia l’attività di monitoraggio regolare e sistematico (salvo, ad esempio, nel caso di utilizzo di telecamere a circuito chiuso, di tracciamento dell’ubicazione attraverso app su dispositivi mobili o di uso programmi di fidelizzazione o di pubblicità comportamentale).
In tali ipotesi, potrebbe essere comunque utile l’indicazione di un Referente GDPR, quale “punto di contatto” per eventuali verifiche e controlli.
Sulla base dei medesimi criteri, sembra potersi anche escludere l’effettuazione della valutazione di impatto sulla protezione dei dati (DPIA – art. 35 del Regolamento), prevista, in generale, come obbligatoria per i casi di trattamento che presentano un rischio elevato per i diritti e le libertà delle persone fisiche, nell’ambito del quale, fra l’altro, vengono espressamente inclusi la profilazione e il trattamento, su larga scala, di categorie particolari di dati personali o dei dati relativi a condanne penali e a reati.
In merito, infatti, il Gruppo di lavoro ex art. 29, nelle Linee guida sulla DPIA, esclude, considerati i possibili criteri pertinenti, la “probabilità” della richiesta di una DPIA per il trattamento di dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato (cfr. considerando n. 91).
Si evidenzia che, anche qualora si reputi non necessario procedere né alla nomina di un RPD, né a una DPIA, nelle Linee guida sopra citate il Gruppo di lavoro ex art. 29 – così come il Garante per la protezione dei dati personali – rileva l’opportunità comunque della rispettiva adozione, riflettendo entrambi gli adempimenti l’approccio di responsabilizzazione in capo al titolare del trattamento (o del responsabile, se nominato) (artt. 5 par. 2 e 24 par. 1).
Per quanto riguarda il RPD, perché si tratta di una figura di ausilio per il titolare all’osservanza stessa del Regolamento, monitorando la sua applicazione e informando e sensibilizzando il titolare (o il responsabile), oltre che i dipendenti, circa gli obblighi in materia di protezione dei dati personali. In caso di designazione su base volontaria, troveranno applicazione le disposizioni concernenti la nomina, lo status e i compiti del RPD obbligatorio.
Quanto alla DPIA, perché consente di attestare di aver adottato le misure idonee a garantire il rispetto delle prescrizioni del Regolamento.