Il Regolamento Europeo in materia di trattamento dei dati personali n. 679/2016 (GDPR) ha introdotto una nuova figura professionale: il Responsabile della Protezione dei Dati (RPD), o Data Protection Officer (DPO) in inglese. Chi è questa figura? La sua presenza all’interno della realtà condominiale è obbligatoria?
Se sei un amministratore di condominio, avendo a che fare con la privacy, ti sarai interrogato qualche volta sulla figura del Data Protection Officer, introdotta dal nuovo Regolamento Europeo per la protezione dei dati personali, con il compito di assistere il titolare del trattamento dati nelle gestioni più complesse per quantità e tipologia di informazioni personali trattate.
La domanda che ti sarai posto è: in condominio è obbligatoria la nomina del Responsabile della protezione dei dati (DPO)?
In questo articolo capiremo chi è il DPO, di cosa si occupa e se il condominio sia obbligato a nominare questa nuova figura.
Chi è il Responsabile della Protezione dei Dati?
Il Responsabile della Protezione dei Dati è un soggetto che svolge funzioni di supporto e controllo in ordine alla protezione dei dati personali. Non si tratta di una figura operativa, ma di un esperto che affianca e supervisiona i sistemi e le procedure adottate per la protezione dei dati. Il suo ruolo è quello di tutelare la privacy degli interessati e non gli interessi del titolare del trattamento, pertanto deve essere una figura indipendente e imparziale. L’articolo 38 del GDPR infatti prevede che il Titolare del trattamento e il Responsabile del trattamento debbano assicurarsi che il DPO non riceva alcuna istruzione per quanto riguarda l’esecuzione dei suoi compiti, non dovendo subire alcun tipo di condizionamento. Ma quali sono in concreto i compiti del DPO?
Quali sono i compiti del Responsabile della Protezione dei Dati?
I compiti del Responsabile della Protezione dei dati, in base a quanto previsto dall’art 39 del GDPR, sono:
- Fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal GDPR;
- Controllare il rispetto del GDPR, sensibilizzare e formare il personale che partecipa ai trattamenti e alle connesse attività di controllo;
- Fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati
- Collaborare con il Garante per la protezione dei dati personali e fornisce le informazioni necessarie per l’esercizio delle sue funzioni.
Quando è obbligatoria la nomina del Responsabile della Protezione dei Dati?
In base a quanto previsto dall’art. 37 del GDPR, la nomina del Responsabile della Protezione dei Dati è obbligatoria in alcuni casi specifici, tra cui:
- Quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico;
- Quando le attività del titolare del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- Quando le attività del titolare del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati (ad esempio, dati sensibili) o di dati relativi a condanne penali e reati.
Il condominio deve nominare il Responsabile della Protezione dei Dati?
In generale, il condominio non è tenuto a nominare un Responsabile della Protezione dei Dati (DPO). Questo perché il condominio non è un soggetto di diritto pubblico e non tratta in maniera sistematica, su larga scala, dati sensibili o relativi a condanne penali dei condòmini. Il dubbio sull’obbligatorietà della nomina potrebbe sorgere nei condomini più grandi, dove, a causa della mole di documenti presenti, qualcuno potrebbe parlare di trattamento su “larga scala”.
A sciogliere ogni dubbio a riguardo ci ha pensato però il Working Party 29, cioè il gruppo di lavoro che ha redatto le Linee guida sui responsabili della protezione dei dati e chi si è occupato di spiegare al meglio il significato delle parole inserite all’interno del GDPR ed ha approfondito il significato delle parole utilizzate dal legislatore europeo. Pur non dettando delle indicazioni in termini numerici, il WP29 ha delineato gli standard di riferimento da seguire, per poter definire un trattamento su “larga scala” o meno. Le domande da porsi, per rispondere, sono:
- Quanti sono gli individui i cui dati personali saranno trattati?
- Quale sarà la quantità di dati personali trattati?
- Per quanto tempo saranno conservati i dati personali?
- In quali paesi o regioni saranno trattati i dati personali?
Sulla base delle risposte a questi interrogativi, si potrà stabilire se un trattamento risulta essere o meno su “larga scala”. In linea generale possiamo comunque definire tali i trattamenti che avvengono a titolo di esempio nell’ambito delle aziende di trasporto pubblico, banche, assicurazioni, ospedali, servizi di geolocalizzazione e altri di tal genere. Non certamente il condominio, che pertanto, lo ripetiamo, non ha l’obbligo di nominare un DPO.
È consigliabile nominare un DPO in condominio?
Anche se la nomina di un Responsabile della Protezione dei Dati non è obbligatoria, è comunque consigliabile individuare un professionista competente in materia di privacy che possa supportare l’amministratore nell’adempimento dei suoi obblighi.
Questo professionista potrà infatti fornire consulenza e assistenza in materia di trattamento dei dati personali, aiutando il condominio a conformarsi al GDPR e permettendo all’amministratore di essere consapevole dei suoi obblighi in materia di privacy, così da adottare le misure necessarie per garantire la sicurezza dei dati dei condòmini.
