L’art 37 prevede la nomina di un responsabile della protezione dei dati personali nei seguenti casi:
a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.
Ma cosa si intende e come si traduce in termini numerici il termine trattamento su larga scala?
Il Gruppo di lavoro WP243 raccomanda di tenere conto, in particolare, dei fattori elencati nel prosieguo al fine di stabilire se un trattamento sia effettuato su larga scala:
– il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
– il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
– la durata, ovvero la persistenza, dell’attività di trattamento;
– la portata geografica dell’attività di trattamento.
Il WP243 prosegue con alcuni esempi specifici, affermando che non sia da considerarsi su larga scala il trattamento effettuato su dati relativi a pazienti svolto da un singolo professionista sanitario.
La legge prevede che il medico di famiglia non possa avere più di 1500 assistiti, significa che i garanti pur senza specificarlo, ammettono che il trattamento relativo a 1500 interessati non sia da ritenersi “su larga scala” pur considerando il volume, la durata e la persistenza del trattamento e la portata geografica.