NEWS

Antonio Ciccia Messina

Avvocato, autore di Italia Oggi e collaboratore giornali e riviste giuridiche e appassionato di calcio e della bellezza delle parole - Twitter: @antonio_ciccia

Squarciato il velo sui Dpo. Il Gdpr in materia di Responsabile della protezione dei dati è un campo minato. Pieno di insidie. E gli interventi punitivi, seppure limitati a qualche unità, fanno scorgere tempeste all’orizzonte. Non è tanto il tabellino delle sanzioni già elevate che preoccupa, quanto la possibilità, illimitata, di sanzionare qualsiasi titolare o responsabile del trattamento per fatti od omissioni riguardanti il Data Protection Officer.

Codici di condotta privacy ai blocchi di partenza. Il Garante, con il provvedimento del 10 giugno 2020 n. 98, ha approvato l'ultimo tassello che mancava per far partire la macchina dei codici di autoregolamentazione previsti dal Regolamento Ue n. 2016/679 (Gdpr). Si tratta della disciplina degli organismi di monitoraggio (Odm), che devono controllare chi aderisce al codice di condotta. Adesso la palla passa alle associazioni delle varie categorie economiche, che possono cimentarsi nello scrivere le regole dettagliate di privacy adattate al loro specifico settore, inserendo anche il capitolo dell'Odm.

Contact tracing senza base giuridica se fuori dal perimetro della app “Immuni”. Non basta la sicurezza di dispositivi e sistemi, ci vuole un piedistallo normativo. È quanto è desumibile da una Faq pubblicata dal Garante il 6 luglio 2020 sull’uso di app di contact tracing in ambito aziendale in relazione alla pandemia da Covid-19. Un’impostazione, questa, del tutto coerente con il quadro normativo europeo e nazionale e, soprattutto, con la disciplina della privacy.

La rotazione degli incarichi nella P.A. non preoccupa, di certo, i DPO (Responsabili della protezione dei dati) seri e preparati. E neppure gli enti pubblici che vogliono avvalersi di soggetti in grado di assicurare al meglio il servizio di “responsabile della protezione dei dati”. È questa la sintesi di una lettura, oggettiva e consapevole, dei meccanismi del mercato di riferimento della deliberazione dell’Autorità anticorruzione (Anac) n. 421 del 13 maggio 2020, e cioè del parere in merito all’applicazione del principio di rotazione ai contratti aventi ad oggetto il servizio di protezione dei dati personali (DPO).

I nonni social devono chiedere il consenso dei genitori prima di postare online le foto dei nipotini. Così ha deciso la corte olandese Gederland, che, accogliendo il ricorso della mamma di un minore di 16 anni, ha ordinato a una nonna di rimuovere le foto da Facebook e da Pinterest, fissando una penale giornaliera (50 euro fino a un massimo di 1.000) in caso di ritardo nella cancellazione.

L’Organismo di vigilanza (Odv) è un organismo dell'ente/società. In quanto tale, l’organismo previsto dall’articolo 6 del d.lgs. 231/2008, non è un titolare del trattamento e neppure un responsabile esterno (articolo 28 Regolamento Ue sulla protezione dei dati n. 2016/679, Gdpr). Inoltre, i componenti dell’Odv devono essere designati autorizzati al trattamento.

Quando la funzione di Data Protection Officer è assegnata ad una persona giuridica, il referente dalla stessa designato a svolgere le attività non deve essere necessariamente un suo dipendente. Lo ha specificato il Garante per la protezione dei dati personali con una nota di chiarimenti (protocollo n. 16763 del 6 maggio 2020), rivolta a una azienda sanitaria locale piemontese. Questa Asl ha bandito una gara per l’affidamento della funzione di Dpo e, nel corso del procedimento, ha escluso una società partecipante, la quale ha indicato un avvocato come designato a svolgere le relative funzioni.

Obblighi raddoppiati per il Dpo. Ai doveri derivanti dallo status di “responsabile della protezione dei dati” si abbinano i doveri derivanti dallo status di dipendente o di consulente esterno o di ente fornitore di servizi. Il Data Protection Officer, infatti, ha sempre un doppio ruolo e i due canali sono comunicanti: con la conseguenza che le mancanze e le negligenze in un campo hanno rilevanza anche nell’altro.

Il mistero dell’articolo 167 codice della privacy sul trattamento di dati senza consenso: è ancora reato? Ciò che sembrava estinto ha mostrato la sua vitalità in una sentenza depositata nel 2020. Ma non pare proprio che ciò basti a dimostrare la reviviscenza di una sanzione penale, assorbita dal sistema sanzionatorio amministrativo del Gdpr. In ogni caso, l’interprete si muova con molta cautela e consapevolezza del diritto transitorio (articolo 24 del d.lgs. 101/2018). Ma spieghiamoci meglio, partendo dalla vicenda concreta al centro della sentenza evocata.

Le applicazioni in prima linea contro il contagio, infatti, sono volontarie, ma fino a un certo punto. Bisogna, infatti, fare i conti con gli obblighi che derivano dall’ordinamento complessivo. Ci si chieda: se uno ha notizie utili a evitare guai alla salute di altre persone e se volontariamente non le mette a disposizione, non è forse responsabile delle conseguenze evitabili con la sua collaborazione? Non ci sono vincoli di solidarietà sociale che implicano e diventano obblighi giuridici? Questo è un esempio delle numerose insidie da affrontare ogni volta che si affronta il tema del bilanciamento tra opposti interessi.

Prev1234...Next
Pagina 1 di 5

Privacy Officer: come si svolgono gli esami di Certificazione TÜV

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
captcha 
Privacy e Termini di Utilizzo