Molti degli adempimenti previsti all’interno del Regolamento Europeo sulla protezione dei dati si basano su di un nuovo concetto: quello di Larga Scala.

Ad esempio, sia la Valutazione di Impatto (DPIA) che la nomina del Data Protection Officer (DPO) sono adempimenti strettamente connessi a questo concetto.

Infatti l’art. 35 comma 3 afferma che la DPIA è richiesta anche quando:

  • si effettua un trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;
  • si effettua una sorveglianza sistematica su larga scala di una zona accessibile al pubblico

Mentre l’art. 37 afferma che sono obbligati a nominare un DPO anche:

  • le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.

E’ facile quindi intuire che stabilire se i propri trattamenti siano o meno su larga scala è essenziale per poter adempire al meglio alle prescrizioni previste dal GDPR.

Tuttavia all’interno dello stesso GDPR non è stato definito, con assoluta certezza, quando è possibile considerare un trattamento su larga scala e quando no, pertanto questo concetto oggi è fonte di dubbi e di discrezionalità.

Gli unici spunti che attualmente si possono utilizzare per avere un metro di paragone si trovano nel considerando n°91 dello stesso GDPR e nelle Linee Guida sui responsabili della protezione dei dati emanate dal gruppo di lavoro articolo 29 nella versione emendata ed adottata in data 5 aprile 2017.

In particolare il considerando in questione ricomprende nella definizione di larga scala “i trattamenti che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato”. D’altro canto, lo stesso considerando prevede in modo specifico che “Il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato”.

Invece, le Linee Guida proposte WP 29 raccomandano di tenere conto nello stabilire se un trattamento sia effettuato su larga scala o meno almeno dei seguenti fattori:

  • il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
  • il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
  • la durata, ovvero la persistenza, dell’attività di trattamento;
  • la portata geografica dell’attività di trattamento.

Pertanto, in base a quanto precedentemente detto, le Linee Guida propongono come esempio di trattamenti su larga scala i trattamenti che riguardano:

  • dati relativi a pazienti svolti da un ospedale nell’ambito delle ordinarie attività;
  • dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio);
  • dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile del trattamento specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food;
  • dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività;
  • dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale;
  • dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici.

Mentre non vanno considerati su larga scala i trattamenti che riguardano:

  • dati relativi a pazienti svolti da un singolo professionista sanitario;
  • dati personali relativi a condanne penali e reati svolti da un singolo avvocato.