Il concetto di “larga scala” a cui fa riferimento il GDPR ai fini dell’obbligo di nomina del D.P.O. (art. 37) e di svolgimento della valutazione di impatto (art. 35) non è in alcun modo precisato.
Il legislatore comunitario, infatti, fa solo un generico riferimento a trattamenti di notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati (cfr. Considerando 91)
Che cosa si intende, dunque, per trattamento su “larga scala”? Come si devono regolare, in concreto, imprenditori, professionisti ed enti pubblici?
A tale scopo ci viene incontro il Gruppo di Lavoro Articolo 29, il quale – nelle linee-guida sui responsabili della protezione dei dati aggiornate al 5.4.2017 – ha precisato che al fine di capire se il trattamento di dati è svolto su larga scala si deve tener conto dei seguenti fattori:
il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
la durata, ovvero la persistenza, dell’attività di trattamento;
la portata geografica dell’attività di trattamento.
Alcuni esempi di trattamento su larga scala sono:
trattamento di dati relativi a pazienti svolto da un ospedale nell’ambito delle ordinarie attività;
trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio);
trattamento di dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile del trattamento specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food;
trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività;
trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale;
trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici.
Non devono, invece, ritenersi su larga scala, ad esempio:
trattamenti di dati relativi a pazienti svolti da singoli professionisti sanitari;
trattamenti di dati personali relativi a condanne penali e reati svolti da singoli avvocati
La precisazione del Gruppo di Lavoro Articolo 29 ci è di grande aiuto nell’individuazione dei casi concreti in cui il trattamento deve considerarsi soggetto agli specifici obblighi sopra indicati.
[RIPRODUZIONE RISERVATA]