Scatta una sanzione salata per i comuni che non hanno ancora provveduto a nominare il proprio Responsabile per la Protezione dei Dati. Sono passati sette anni dall’entrata in vigore definitiva del Gdpr ma alcuni enti risultano ancora senza DPO/RPD. E quando l’Autorità di controllo se ne accorge sono guai grossi per il primo cittadino.
O difensore o Dpo (responsabile della protezione dei dati): un'impresa o un'amministrazione, titolari del trattamento, non possono affidare una causa all'avvocato già incaricato della funzione prevista dal Gdpr (regolamento Ue sulla protezione dei dati n. 2016/679) anche a beneficio degli interessati (clienti, utenti, ecc.), potenziali avversari del titolare del trattamento. È quanto ha deciso il Garante della privacy, che, con l'ingiunzione n. 214 del 9 giugno 2022, ha sanzionato un Comune colpevole di avere delegato per la difesa in alcuni giudizi lo stesso professionista legale già individuato come responsabile della protezione dei dati (articolo 37 del Gdpr).
Per leggere l'articolo integrale devi effettuare il login!
Corso di formazione manageriale per DPO, fino a 100 le candidature al vaglio di Federprivacy, ma saranno solo la metà i partecipanti ammessi al percorso di 124 ore che inizierà a gennaio 2018 con esame finale il 30 marzo. Bernardi: "Per formare adeguatamente i Data Protection Officer secondo previsioni del GDPR serve ben più di un corso concentrato di quattro o cinque giorni". Dal 25 maggio 2018 sanzioni fino a 10 milioni di euro o fino al 2% del fatturato per p.a. e aziende rientranti nell'obbligo che non ottemperano.
Cambiano le regole della privacy con il Regolamento UE 2016/679, e entro il 25 maggio 2018 tutte le pubbliche amministrazioni e tutte le aziende che monitorano gli utenti in modo regolare e sistematico o che trattano dati sensibili su larga scala dovranno essersi dotate di un “responsabile della protezione dei dati”, che ai sensi dell'art.37 del nuovo testo deve essere “designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati”.
Il ministero dell'istruzione richiama tutto il personale ad informarsi sulle procedure da seguire in caso di data breach e mette in evidenza che scuole e istituti possono delegare al loro Dpo la compilazione del registro delle violazioni privacy, la cui tenuta è obbligatoria.
Per leggere l'articolo integrale devi effettuare il login!
I Dpo invocano la legittima autodifesa. Sì, proprio così, i Dpo hanno bisogno di autodifendersi per riscoprire il loro posto nel grande quadro della privacy. Autodifendersi significa riscoprire le proprie identità, fare pace con se stessi e non cadere nella depressione da multipolarità congenita. La legittima autodifesa non è solo un diritto dei Dpo, ma anche un loro cogente dovere, così da compiere l’intero tracciato del circolo virtuoso: solo, con la legittima autodifesa, i Dpo potranno fare del bene a loro stessi e, contestualmente, ai titolari del trattamento. Al contrario, senza la reazione della legittima autodifesa i Dpo faranno del male a loro stessi e ai titolari del trattamento.
L’autorità lussemburghese ha recentemente indicato che, per realtà di trattamento dati complesse, un DPO adeguato dovrebbe avere almeno tre anni di esperienza professionale. L’indicazione è stata resa nell’ambito di una attività ispettiva, in seguito alla quale una società lussemburghese veniva sanzionata dal Garante Privacy nazionale (CNPD) per aver nominato un DPO inadeguato.
Quando la funzione di Data Protection Officer è assegnata ad una persona giuridica, il referente dalla stessa designato a svolgere le attività non deve essere necessariamente un suo dipendente. Lo ha specificato il Garante per la protezione dei dati personali con una nota di chiarimenti (protocollo n. 16763 del 6 maggio 2020), rivolta a una azienda sanitaria locale piemontese. Questa Asl ha bandito una gara per l’affidamento della funzione di Dpo e, nel corso del procedimento, ha escluso una società partecipante, la quale ha indicato un avvocato come designato a svolgere le relative funzioni.
Di recente sul Wall Street Journal è apparso un articolo di Angus Loten intitolato “Financial Technology Firms Tap AI to Reach More Borrowers”, in cui viene sottolineato come sia sempre più diffuso il ricorso a tecnologie di Intelligenza Artificiale per aiutare le fintech companies operanti nel settore della concessione di prestiti per aiutare imprese e anche singole persone, in primo luogo gli studenti, a reperire denaro da prestatori professionali e non per sostenere le loro attività di impresa o comunque orientate a implementare le capacità dei destinatari dei prestiti e quindi anche il valore delle loro attività presenti o future.
Il Tar Friuli Venezia Giulia interviene sui requisiti che deve rivestire il DPO nel contesto del nuovo Regolamento europeo sulla privacy e sul ruolo delle certificazioni ai fini della selezione da parte delle pubbliche amministrazioni di questo ultimo ruolo. Il ruolo del Dpo ( data protection officer) e’ eminentemente giuridico, secondo l’organo giurisdizionale amministrativo.
