Con sentenza del 26 aprile 2023 (causa T-557/20), la Corte di Giustizia dell’Unione Europea (“CGUE”) ha stabilito che un dato pseudonimizzato trasmesso ad un destinatario che non ha i mezzi per poter identificare l’interessato non è un dato personale. Ciò comporta che siffatte informazioni non rientrano nell’ambito di applicazione della normativa in materia di protezione dei dati personali.
Prima di entrare nel merito della pronuncia in commento, appare opportuno definire cosa si debba intendere per “pseudonimizzazione”. Ai sensi dell’articolo 4 del Regolamento (UE) 2016/679 (meglio noto secondo l’acronimo inglese “GDPR”) con pseudonimizzazione si intende “il trattamento dei dati personali [effettuato] in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”.
Fatta tale premessa, si approfondisce, di seguito, il caso esaminato dalla CGUE.
La vicenda trae origine da diversi reclami pervenuti al Garante europeo della protezione dei dati (l’”GEPD”) attraverso i quali venivano segnalate alcune condotte tenute dal Single Resolution Board (il Comitato di Risoluzione Unico, “CRU”).
Nello specifico il CRU, dopo aver raccolto attraverso un modulo elettronico alcune opinioni di azionisti e creditori (i “soggetti interessati”), aveva trasferito le risposte ottenute ad una società di consulenza. Prima dell’inoltro alla società di consulenza, tuttavia, il CRU aveva provveduto a pseudonimizzare tali dati sostituendo i nominativi dei soggetti interessati con dei codici alfanumerici. Questi ultimi, tuttavia, adivano il GEPD lamentando che nelle informative sul trattamento dei dati personali fornite dal CRU non venisse precisato che i loro dati personali sarebbero stati condivisi con soggetti terzi.
Il GEPD affermava che, nonostante i dati così trasmessi non consentissero alla società di identificare gli autori del sondaggio, i dati, seppur pseudonimizzati, dovessero comunque essere considerati dati personali, anche in considerazione del fatto che l’outsourcer riceveva il codice alfanumerico che consentiva di collegare le risposte ricevute.
Per tali ragioni, il GEPD riteneva la società di consulenza destinataria di dati personali e il CRU responsabile della violazione di cui all’articolo 15 del GDPR – disciplinante il diritto di accesso dell’interessato – per non aver, tra le altre, fornito informazioni circa i destinatari o le categorie di destinatari a cui i dati personali sarebbero stati comunicati.
Di contrario avviso sono stati i Giudici Europei che hanno capovolto la decisione del GEPD. La Corte di Giustizia, infatti, ha affermato che la decisione assunta dal GEPD circa la natura del dato pseudonimizzato non è corretta, in quanto il GEPD non aveva verificato se la società alla quale erano stati trasmessi i dati fosse stata, o meno, in grado di (re)identificare i soggetti interessati. Tale verifica sarebbe dovuta avvenire sulla base degli strumenti che la stessa deteneva, o meno, per poter identificare le persone fisiche.
Per definire se le informazioni pseudonimizzate trasmesse ad un destinatario costituiscano o meno dati personali è necessario “considerare la prospettiva del destinatario”: se il destinatario non dispone di informazioni aggiuntive che gli consentano di identificare gli interessati ovvero non ha a disposizione strumenti legali per accedervi, i dati trasmessi sono considerabili come dati anonimi e quindi non rappresentano dati personali, restando, pertanto, esclusi dall’ambito di applicazione dei principi vigenti in materia di data protection. Il fatto che chi trasmette i dati abbia, al contrario, gli strumenti per identificare gli interessati non rileva.
Per questi motivi, la Corte di Giustizia ha annullato la decisione del GEPD condannandolo alle spese processuali.
Altri insights correlati:
Controlli datoriali: illecito il monitoraggio dei metadati delle e-mail di dipendenti
GDPR: le misure di sicurezza a tutela della protezione dei dati
Su segnalazione di un gruppo di soci lavoratori di una società cooperativa, l’Autorità Garante per la protezione dei dati personali (il “Garante”) accertava l’illiceità di alcuni trattamenti effettuati mediante la pubblicazione, nella bacheca aziendale, di informazioni relative alle valutazioni sul loro operato.
In particolare, nell’ambito di un “concorso a premi per i soci lavoratori, dal titolo «Guardiamoci in faccia…soci!» con l’intento di incentivare i soci più meritevoli e […] disincentivare i disservizi” la società cooperativa era solita condividere settimanalmente le valutazioni dei destinatari utilizzando faccine (c.d. “emoticon”) accompagnate da giudizi di sintesi (quali a titolo esemplificativo, “assenteismo”, “simulazione malattia”) posti accanto all’immagine e al nominativo di ciascuno. Tali informazioni erano visibili non solo dal lavoratore interessato ma da chiunque accedesse ai locali all’interno dei quali era posta la bacheca aziendale, ivi inclusi i soggetti esterni occasionalmente presenti in sede, ed erano finalizzate a premiare, in denaro, i primi tre classificati.
Gli accertamenti effettuati dal Garante appuravano l’illiceità dei trattamenti per violazione dei principi fondamentali di liceità, correttezza e trasparenza nonché di minimizzazione dei dati. L’Autorità, infatti, se da un lato confermava che il datore di lavoro può trattare lecitamente le informazioni necessarie e pertinenti per la gestione del rapporto di lavoro – ivi compresi i dati necessari ad effettuare una valutazione sul corretto adempimento della prestazione lavorativa e/o ad esercitare il potere disciplinare (nei modi e con i limiti previsti dalla disciplina di settore) – dall’altro rilevava che la sistematica messa a disposizione di tali informazioni mediante affissione sulla bacheca permetteva un trattamento di dati a soggetti (quali altri colleghi o terzi) non legittimati a conoscere informazioni inerenti a valutazioni e rilievi disciplinari.
Inoltre, il Garante confermava che la raccolta del consenso, in circostanze come quelle oggetto di verifiche, non può essere considerata una base giuridica idonea a legittimare il trattamento di dati personali. Ciò in quanto l’asimmetria tra le rispettive parti del rapporto di lavoro non può presupporre un consenso prestato in maniera espressa, libera e specifica e riferito ad un trattamento specificatamente individuato. Il consenso prestato al momento dell’approvazione del deliberato assembleare, come invece sostenuto dalla società, è “funzionalmente diverso” dal consenso ai trattamenti effettuati dalla società in relazione alle valutazioni sull’operato dei soci.
Per tutti questi motivi, il Garante confermava che “[…] sottoporre costantemente all’osservazione dei colleghi le valutazioni sulla qualità del lavoro effettuato o sulla correttezza della prestazione, anche nell’ambito di una pubblica competizione premiale” lede aspetti quali quelli della dignità personale, della libertà e della riservatezza dei lavoratori.
◊◊◊◊
Avverso il provvedimento del Garante, la società ha proposto ricorso prima innanzi al competente Tribunale e poi innanzi alla Corte di Cassazione. Quest’ultima, con sentenza 17911/2022, pubblicata lo scorso 1° giugno, ha rigettato il ricorso – confermando quanto sostenuto dal Garante – e riaffermato il principio secondo cui “la legittimità del trattamento presuppone un consenso validamente prestato in modo espresso, libero e specifico, in riferimento a un trattamento chiaramente individuato; tale principio di portata generale rileva e prevale in ogni rapporto”.
Altri insights correlati:
Lo scorso 10 giugno, l’Autorità Garante per la protezione dei dati personali (il “Garante”) ha approvato le nuove “Linee guida sui cookie”.
Con il termine cookie si intende un piccolo file di testo che un sito web (cd. publisher o “prima parte”) può autonomamente inviare al dispositivo dell’utente (ad esempio, Smartphone, Pc o Tablet) quando visualizza una pagina web ovvero siti o web server diversi (cd. “terze parti”). Solitamente i cookie consentono di memorizzare le preferenze espresse dall’utente per non dover essere reinserite successivamente. Il browser utilizzato salva l’informazione e la ritrasmette al Server del sito nel momento in cui l’utente visita nuovamente quel sito web.
Le Linee Guida, adottate dal Garante tenendo conto di quanto emerso durante la consultazione pubblica promossa alla fine dello scorso anno, hanno l’obiettivo di rafforzare il potere di decisione degli utenti riguardo all’uso dei loro dati personali quando navigano on line.
Di seguito le principali novità.
Nel rispetto di quanto previsto dal Regolamento (UE) 2016/679 in materia di protezione dei dati personali (meglio noto come il “GDPR”), l’informativa da rilasciare agli utenti/interessati dovrà indicare (i) tutti gli eventuali soggetti destinatari, (ii) i tempi di conservazione dei dati personali trattati nonché (iii) una descrizione di tutte le conseguenze di ogni azione compiuta dall’utente/interessato.
Il Garante raccomanda che i cookie Analytics, di cui il Titolare del trattamento si avvale per valutare l’efficacia di un servizio, siano utilizzati solo a scopi statistici.
Viene confermatoil modello di informativa multi-layer con un banner (c.d. informativa breve) all’accesso al sito contenente specifiche indicazioni su posizionamento, dimensioni, caratteri e contenuto nonché il link all’informativa estesa.
All’utente/interessato deve essere data la possibilità di scegliere tra il consenso o l’opzione di modulare le proprie preferenze rispetto al tracciamento e deve essergli fornito il link ad una ulteriore area dedicata nella quale sia possibile selezionare, in modo analitico, soltanto le funzionalità, i soggetti cd. terze parti ed i cookie, anche eventualmente raggruppati per categorie omogenee, al cui utilizzo l’utente scelga di acconsentire.
Il semplice “scroll down” del cursore di pagina è inadatto in sé alla raccolta, da parte del titolare del trattamento, di un idoneo consenso all’installazione e all’utilizzo di cookie di profilazione ovvero di altri strumenti di tracciamento.
Con riferimento al potere di autonomia del titolare nell’identificazione delle soluzioni più appropriate per conseguire la conformità alle regole dei trattamenti di dati personali effettuati, il Garante invita i titolari a valutare con estremo rigore ogni possibile soluzione. Secondo il Garante, qualora all’azione dell’utente non corrisponda alcun evento informatico inequivoco, documentabile e dotato delle menzionate caratteristiche, anche sotto il profilo della consapevolezza per lo stesso utente, non sarà possibile attribuire a tale azione la validità del consenso ai sensi della normativa vigente.
La raccolta del consenso ai cookie non può essere riproposta, a meno che (i) non cambino le condizioni del trattamento in modo significativo, (ii) non sia possibile per il gestore del sito registrare la precedente scelta dell’utente a causa di una decisione di quest’ultimo e (iii) non siano decorsi almeno 6 mesi dalla precedente richiesta.
Agli utenti/interessati dovrà essere fornita, in ogni momento e in maniera semplice, immediata e intuitiva, la possibilità di revisionare le scelte effettuate attraverso un’apposita area da rendere accessibile per il tramite di un link da posizionarsi nel footer del sito e che ne renda esplicita la funzionalità attraverso l’indicazione di “rivedi le tue scelte sui cookie” o analoga
I titolari dei siti web avranno 6 mesi di tempo per conformarsi ai principi contenuti nelle Linee guida.
Altri insights correlati:
È stato pubblicato sulla Gazzetta Ufficiale dello scorso 14 giugno il Decreto-Legge n. 82/2021 (il “Decreto”) recante “disposizioni urgenti in materia di cyber-sicurezza, definizione dell’architettura nazionale di cyber-sicurezza e istituzione dell’Agenzia per la cyber-sicurezza nazionale”.
Con il termine “Cyber-sicurezza” si intende “l’insieme delle attività necessarie per proteggere dalle minacce informatiche reti, sistemi informativi, servizi informatici e comunicazioni elettroniche, assicurandone la disponibilità, la confidenzialità e l’integrità e garantendone altresì la resilienza” (art. 1, comma 1, lett. a).
Il Decreto, che si compone di 19 articoli, istituzionalizza, tra le altre, il “Comitato interministeriale per la cyber-sicurezza” (il “CIC”). Il CICsvolge funzioni di consulenza, proposta e vigilanza in materia di politiche di cyber-sicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico. Inoltre, il CIC ha i seguenti compiti:
Tra le novità principali del Decreto vi è, altresì, l’istituzione dell’”Agenzia per la cyber-sicurezza nazionale” (l’”ANC” o l’”Agenzia”). Il Decreto specifica le sue funzioni chiarendone la composizione e l’organizzazione. Con apposito regolamento, da approvarsi entro 120 giorni dall’entrata in vigore del Decreto, infatti, dovrà essere definito il funzionamento dell’Agenzia composta da otto uffici di livello dirigenziale generale e da trenta articolazioni di livello dirigenziale non generale nell’ambito delle risorse disponibili (art. 12, comma 1).
L’Agenzia rappresenta il principale Ente in materia di cyber-sicurezza che esercita funzioni di autorità nazionale in materia e accentra le numerose competenze sin d’ora attribuite ad altri organi tra cui quelle del Ministero dello Sviluppo Economico. Tra i suoi compiti vi rientrano:
L’Agenzia è affiancata dal “Nucleo per la cyber-sicurezza” che ha il compito di supportare il Presidente del Consiglio dei Ministri, per gli aspetti relativi alla prevenzione e alla preparazione ad eventuali situazioni di crisi e per l’attivazione delle procedure di allertamento. Tra i principali compiti affidati a tale organo rientrano:
◊◊◊◊
Entro il 30 aprile di ogni anno, il Presidente del Consiglio dei Ministri ha il compito di trasmettere al Parlamento una relazione sull’attività svolta dall’Agenzia nell’anno precedente e la stessa, in qualità di Centro nazionale di coordinamento italiano, nello svolgimento delle proprie attività si interfaccerà con il “Centro europeo di competenza per la cyber-sicurezza nell’ambito industriale, tecnologico e della ricerca“, concorrendo ad aumentare l’autonomia strategica europea nel settore.
Altri insights correlati:
L’Autorità Garante per la protezione dei dati personali (il “Garante”) lo scorso 14 maggio ha pubblicato un documento sul ruolo del medico competente anche con riferimento alla realizzazione dei piani vaccinali per l’attivazione di punti straordinari di vaccinazione anti Covid-19, prevista dal Protocollo nazionale sottoscritto il 6 aprile 2021.
Con tale documento, il Garante chiarisce, innanzitutto, che i compiti assegnati al medico competente assumono la funzione di “misure di prevenzione di carattere generale” da attuare, tra le altre, nel rispetto della disciplina di settore in materia di sicurezza sul lavoro, dei principi di protezione dei dati personali, dei protocolli di sicurezza e delle indicazioni di volta in volta fornite dal Ministero della Salute.
Il medico competente deve collaborare costantemente con il datore di lavoro e con il servizio di prevenzione e protezione sanitario:
Considerata la situazione emergenziale ancora in corso, è opportuno che il medico competente prosegua e intensifichi l’attività di sorveglianza sanitaria anche prevedendo ulteriori visite mediche, ad esempio, in occasione del rientro al lavoro dei dipendenti dopo la sospensione delle attività produttive, o in caso di progressivo ritorno delle risorse “in presenza”.
Richiamando quanto già espressamente chiarito con le FAQ (“Frequently Asked Questions”) dello scorso 17 febbraio, il Garante ribadisce che il datore di lavoro deve assicurare che i dipendenti “non siano adibiti alla mansione lavorativa specifica senza il prescritto giudizio di idoneità” tenendo conto, “delle capacità e delle condizioni degli stessi in rapporto alla loro salute e sicurezza” (art. 18, comma 1, lettera c), d.lgs. n. 81/2008). Nell’ambito delle proprie attività di sorveglianza sanitaria il medico competente è l’unico soggetto legittimato a trattare i dati sanitari dei lavoratori e a verificare l’idoneità alla “mansione specifica” (artt. 25, 39, comma 5, e 41, comma 4, D.Lgs. n. 81/2008).
Il rispetto del necessario riparto di ruoli e competenze tra datore di lavoro e medico competente, si legge nel documento condiviso, dovrà essere assicurato anche con riguardo alla vaccinazione nell’ambiente di lavoro che – pur avendo origine dalla duplice esigenza di concorrere alla rapida attuazione della campagna vaccinale a livello nazionale e di accrescere i livelli di sicurezza nelle realtà lavorative – resta una “iniziativa di sanità pubblica”, in relazione alla quale “la responsabilità generale e la supervisione dell’intero processo rimane in capo al servizio sanitario regionale, per il tramite dell’azienda sanitaria di riferimento”.
Con Ordinanza di Ingiunzione del 15 aprile 2021, l’Autorità Garante per la protezione dei dati personali (il ”Garante”) ha sanzionato una società operante nel settore manifatturiero per non aver informato correttamente e puntualmente i lavoratori interessati circa le caratteristiche di un sistema informatico in uso presso la stessa. Così facendo, la società ha trattato illecitamente i dati dei lavoratori andando oltre i limiti stabiliti dall’autorizzazione dell’Ispettorato del lavoro territorialmente competente e le finalità indicate nelle informative rilasciate.
Il Garante è intervenuto a seguito del reclamo presentato dalla FIOM CGIL, su mandato di alcuni lavoratori, con cui veniva richiesto di adottare un provvedimento di accertamento e prescrittivo nei confronti della società datrice di lavoro. In particolare, veniva denunciato che il sistema in uso in azienda prevedeva l’inserimento di una password individuale sulla postazione di lavoro prima di iniziare l’attività che permetteva di archiviare i dati dei singoli lavoratori relativamente ai fermi e alla produzione durante tutto l’arco della giornata lavorativa. Pertanto, stante la riferibilità dei dati raccolti all’attività dei singoli dipendenti a seguito dell’autenticazione con la password, attraverso tale sistema la società, a parere del sindacato, raccoglieva anche dati disaggregati e per finalità ulteriori rispetto a quelle indicate nelle informative rilasciate.
All’esito dell’istruttoria svolta dal Garante è emerso, tra le altre, che il sistema informatico coesisteva con la precedente modalità di organizzazione delle attività di lavoro, basata sulla compilazione di moduli cartacei in cui il nominativo dei dipendenti era indicato in chiaro. I moduli venivano conservati e registrati sul software, ma senza alcuna forma di separazione, contravvenendo in questo modo a quanto indicato nelle informative sul funzionamento del sistema e nell’autorizzazione amministrativa, che avevano vietato espressamente l’utilizzo dei dati raccolti a fini disciplinari. Era, infatti, emerso che i dati raccolti attraverso tale strumento erano stati utilizzati per verificare la veridicità di quanto affermato da un dipendente nel corso di un procedimento disciplinare avviato nei suoi confronti.
E’ emersa, inoltre, la sussistenza di irregolarità nei tempi di conservazione dei dati così raccolti e trattati che, stando a quanto dichiarato dalla società, avrebbero dovuto essere commisurati con quanto necessario per “il monitoraggio/valutazione dei cicli produttivi”.
Alla luce delle informazioni raccolte, il Garante ha disposto la limitazione definitiva dei trattamenti effettuati mediante i dati raccolti attraverso il sistema in uso, ingiungendo la società (i) a conformare la propria organizzazione e i propri trattamenti al Regolamento (UE) 2016/679 anche aggiornando l’informativa da fornire ai dipendenti interessati, (ii) ad adottare adeguate misure di segregazione dei dati raccolti sia attraverso i form cartacei sia attraverso il software oltreché (iii) a pagare la somma di euro 40.000,00 a titolo di sanzione pecuniaria per le violazioni riscontrate.
Altri insights correlati:
L’Autorità Garante per la protezione dei dati personali (il “Garante”), il 10 dicembre 2020, ha avviato una consultazione pubblica in merito alle “Linee Guida sull’utilizzo dei cookie, o di altri strumenti di tracciamento” (le “Linee Guida”) redatte il precedente 26 ottobre.
L’intervento del Garante fa seguito alle indicazioni fornite dal Comitato dei Garanti europei (“EDPB” – “European Data Protection Borard”) nelle “Linee guida 5/2020 sul consenso ai sensi del Regolamento (UE) 2016/679” del 4 maggio 2020.
I cookie sono piccole stringhe di testo che i siti web (cd. publisher o “prima parte”) visitati dall’utente ovvero siti o web server diversi (cd. “terze parti”) posizionano e archiviano all’interno del dispositivo in uso (ad esempio, Smartphone, Pc o Tablet). I cookie permettono di raccogliere informazioni e migliorare la navigazione dell’utente/interessato.
Il Regolamento (UE) 2016/679 in materia di protezione dei dati personali (“GDPR”), pur non modificando direttamente la disciplina relativa a detti strumenti di tracciamento, regolamenta puntualmente il consenso al trattamento dei dati personali. In particolare, viene stabilito che il consenso deve essere fornito dagli interessati tramite una “manifestazione di volontà libera, specifica, informata e inequivocabile” (cfr. articolo 4, GDPR).
Quanto sopra pone l’attenzione, secondo il “principio dell’accountability”, sull’attuazione dei principi di protezione dei dati già dalla progettazione e per impostazioni predefinite (cd. “privacy by design e by default“), rendendo necessaria una analisi sulle corrette modalità di rilascio dell’informativa online agli utenti/interessati e di acquisizione, ove necessario, del loro consenso.
Ciò detto, Le Linee Guida, recependo quanto affermato dall’EDPB, chiariscono, tra le altre, che:
Le Linee Guida chiariscono, altresì, che ciascun Titolare del trattamento ha il dovere di fornire ai propri interessati/utenti puntuali informazioni sul trattamento effettuato con i loro dati. Informativa questa che deve essere fornita su un doppio livello: (i) informativa c.d. breve o banner che contenga il link di rinvio (ii) all’informativa estesa.
Al termine della consultazione pubblica diretta ad imprenditori, consumatori, utenti ed operatori del settore e dell’analisi, seguita dell’eventuale recepimento, delle osservazioni pervenute, l’Autorità provvederà emettere il provvedimento finale.
Altri insights correlati:
Con un provvedimento del 1° aprile 2020, l’Autorità spagnola per la protezione dei dati personali (“Agencia Española Protección Datos” – “AEPD”) ha sanzionato una società iberica di consegne a domicilio, realizzate attraverso prenotazioni su una piattaforma on line, utilizzata da migliaia di clienti, per omessa nomina del Data Protection Officer (“DPO” o “Responsabile della protezione dei dati”) ai sensi dell’articolo 37 del Regolamento (UE) 2016/679 in materia di protezione dei dati personali (“Regolamento”).
La figura del DPO rappresenta uno dei profili di novità introdotti dal Regolamento. Gli articoli 37, 38 e 39, infatti, contengono, rispettivamente, le prescrizioni in merito (i) alla designazione del DPO (ii) alla posizione che tale figura assume all’interno di una organizzazione nonché (iii) all’indicazione dei compiti minimi che devono essergli assegnati tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità dei trattamenti posti in essere dal Titolare o dal Responsabile del trattamento.
Tuttavia, stando ad una interpretazione letterale del Regolamento, non tutti i Titolari o i Responsabili del trattamento sono obbligati a designare tale figura.
Tale linea interpretativa nasce dal contenuto dell’articolo 37 secondo il quale si deve procedere con la nomina del DPO ogniqualvolta: “(i) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico (…)”, “(ii) le attività principali (…) consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala” ovvero “(iii) le attività principali (…) consistono nel trattamento, su larga scala, di categorie particolari di dati personali (…) o di dati relativi a condanne penali (…)”.
Sin dalle prime interpretazioni del Regolamento, tali ipotesi hanno intavolato numerosi dibattiti con conseguenti posizioni differenti da parte della dottrina. Le espressioni “larga scala” “monitoraggio regolare e sistematico degli interessati sul larga scala” sottendono dei profili di genericità che spesso, nell’applicazione operativa del Regolamento, possono determinare dei dubbi interpretativi.
Sul punto, il provvedimento dell’AEPD in esame assume profili di rilevanza non solo perché contiene una delle prime sanzioni erogate dall’entrata in vigore del GDPR in seguito alla rilevazione della mancata nomina del DPO ma, soprattutto, perché rappresenta un precedente nella definizione e demarcazione del concetto di “larga scala”. L’Autorità spagnola, infatti, mette in luce la rilevanza numerica dei soggetti interessati dal trattamento quale condizione utile a determinare il generico concetto di larga scala.
In ambito nazionale, fermo restando quanto prescritto dal Regolamento, il Garante per la protezione dei dati personali ha precisato come sia possibile nominare un DPO anche nelle ipotesi in cui non si rientri nei casi imposti dal Regolamento. Alla luce di tale chiarimento, infatti, è buona prassi motivare e documentare puntualmente le ragioni per le quali il Titolare, o il Responsabile del trattamento, assumono la decisione di individuare, o meno, tale figura. Si ricorda, infine, che la violazione degli obblighi previsti dai citati artt. 37, 38 e 39 del Regolamento comporta, ai sensi dell’art. 83, comma 4, del Regolamento stesso la comminazione di una sanzione amministrativa pecuniaria fino a euro 10.000.000, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente.
Altri insights correlati:
Le FAQ del Garante sul Responsabile della Protezione dei Dati (RPD) in ambito privato