Inps condannato per il software automatizzato usato nei controlli delle assenze per malattie. Il tribunale di Roma (sentenza 4609/2020) ha confermato l'ingiunzione 492 del 29/11/2018, con cui il Garante privacy aveva ordinato all'ente il pagamento di 40 mila euro. Il giudice ha respinto l'opposizione dell'Inps contro l'ingiunzione, accertando che lo stesso ha commesso plurime violazioni del Codice della privacy.

La privacy è un cantiere ancora aperto. Anzi, non sono state ancora completate le fondamenta. Si potrà ribattere che tempo ce n’è e che non ci sono termini perentori da rispettare. Ma è oggettivo che il RGPD è del 2016, che è diventato operativo nel 2018 ed altrettanto incontestabile è che non ci sono ancora le previste regole ad hoc, ad esempio, per la sanità o per le piccole e medie imprese.

Chiedere lumi al Dpo fa sempre bene al titolare del trattamento. Anche solo per abbassare l’importo della sanzione per violazione della normativa sulla protezione dei dati. Ma qual è il ruolo del Data Protection Officer? A ben vedere, in effetti, il Dpo si mette sempre in gioco e rischia, al di là di quanto gli competa, di diventare una posizione di garanzia o, altrimenti detto, un parafulmine. Sullo sfondo, il Considerando 77 del Gdpr, neppure tanto di sottecchi, ormai allunga la sua ombra: un “Considerando” che dota il Dpo di super poteri, ma che poi lo colloca su un piedistallo scivoloso; un “Considerando” che mette l’acceleratore a una priorità assoluta e cioè avere un repertorio delle “indicazioni del Dpo” per specifici settori.

Squarciato il velo sui Dpo. Il Gdpr in materia di Responsabile della protezione dei dati è un campo minato. Pieno di insidie. E gli interventi punitivi, seppure limitati a qualche unità, fanno scorgere tempeste all’orizzonte. Non è tanto il tabellino delle sanzioni già elevate che preoccupa, quanto la possibilità, illimitata, di sanzionare qualsiasi titolare o responsabile del trattamento per fatti od omissioni riguardanti il Data Protection Officer.

Codici di condotta privacy ai blocchi di partenza. Il Garante, con il provvedimento del 10 giugno 2020 n. 98, ha approvato l'ultimo tassello che mancava per far partire la macchina dei codici di autoregolamentazione previsti dal Regolamento Ue n. 2016/679 (Gdpr). Si tratta della disciplina degli organismi di monitoraggio (Odm), che devono controllare chi aderisce al codice di condotta. Adesso la palla passa alle associazioni delle varie categorie economiche, che possono cimentarsi nello scrivere le regole dettagliate di privacy adattate al loro specifico settore, inserendo anche il capitolo dell'Odm.

Contact tracing senza base giuridica se fuori dal perimetro della app “Immuni”. Non basta la sicurezza di dispositivi e sistemi, ci vuole un piedistallo normativo. È quanto è desumibile da una Faq pubblicata dal Garante il 6 luglio 2020 sull’uso di app di contact tracing in ambito aziendale in relazione alla pandemia da Covid-19. Un’impostazione, questa, del tutto coerente con il quadro normativo europeo e nazionale e, soprattutto, con la disciplina della privacy.

La rotazione degli incarichi nella P.A. non preoccupa, di certo, i DPO (Responsabili della protezione dei dati) seri e preparati. E neppure gli enti pubblici che vogliono avvalersi di soggetti in grado di assicurare al meglio il servizio di “responsabile della protezione dei dati”. È questa la sintesi di una lettura, oggettiva e consapevole, dei meccanismi del mercato di riferimento della deliberazione dell’Autorità anticorruzione (Anac) n. 421 del 13 maggio 2020, e cioè del parere in merito all’applicazione del principio di rotazione ai contratti aventi ad oggetto il servizio di protezione dei dati personali (DPO).

I nonni social devono chiedere il consenso dei genitori prima di postare online le foto dei nipotini. Così ha deciso la corte olandese Gederland, che, accogliendo il ricorso della mamma di un minore di 16 anni, ha ordinato a una nonna di rimuovere le foto da Facebook e da Pinterest, fissando una penale giornaliera (50 euro fino a un massimo di 1.000) in caso di ritardo nella cancellazione.

L’Organismo di vigilanza (Odv) è un organismo dell'ente/società. In quanto tale, l’organismo previsto dall’articolo 6 del d.lgs. 231/2008, non è un titolare del trattamento e neppure un responsabile esterno (articolo 28 Regolamento Ue sulla protezione dei dati n. 2016/679, Gdpr). Inoltre, i componenti dell’Odv devono essere designati autorizzati al trattamento.

Quando la funzione di Data Protection Officer è assegnata ad una persona giuridica, il referente dalla stessa designato a svolgere le attività non deve essere necessariamente un suo dipendente. Lo ha specificato il Garante per la protezione dei dati personali con una nota di chiarimenti (protocollo n. 16763 del 6 maggio 2020), rivolta a una azienda sanitaria locale piemontese. Questa Asl ha bandito una gara per l’affidamento della funzione di Dpo e, nel corso del procedimento, ha escluso una società partecipante, la quale ha indicato un avvocato come designato a svolgere le relative funzioni.