Uno degli errori più comuni, nel quale si rischia di cadere - spesso in perfetta buona fede - è quello di affrontare la protezione dei dati partendo dal rispetto di una sola normativa di cui si sente di essere abbastanza padroni e considerare tutte le altre quasi come una sorta di “rumore di fondo”, semplici realtà ancillari rispetto alle norme che meglio padroneggiamo.
Il recente provvedimento sanzionatorio emesso dal Garante per la Protezione dei Dati personali (provv. n. 90 dell'11 marzo 2021) consente di trarre dalla realtà concreta che quotidianamente deve affrontare chi si occupa di data protection spunti per riflettere su competenze, requisiti e qualità che un Data Protection Officer deve possedere, argomento che operativamente si riflette nelle selezioni dei DPO.
Per leggere l'articolo integrale devi effettuare il login!
La situazione emergenziale è uno stato, innescato da un “agente di minaccia”, in cui può trovarsi un’organizzazione; tale condizione può essere simmetrica, ovvero colpisce tutta una serie di soggetti che appartengono ad uno specifico cluster (area geografica, settore merceologico, ecc.) oppure asimmetrica (colpisce una sola organizzazione). Un incendio o un data breach sono condizioni emergenziali asimmetriche; la pandemia Covid-19 o un evento naturale che colpisce una regione è una condizione emergenziale simmetrica.
Se mai ci può essere una sfida (diversa ed ulteriore) alla postura che un Data Protection Officer è chiamato ad assumere, quella di “restare sul pezzo” in un mondo travolto dalle nuove tecnologie e dalle loro ricadute non solo tecniche, ma anche sociali ed individuali, costituisce -senza dubbio- la “madre di tutte le prove”.
In data 22 giugno 2022 la Corte di Giustizia UE si è pronunciata nella causa C-534/20 sul rinvio pregiudiziale proposto dal Tribunale del Lavoro federale tedesco nella causa tra un Data Protection Officer e il suo datore di lavoro. La causa davanti al Tribunale del lavoro era sorta in conseguenza del fatto che in data 13 luglio 2018 la Società Leistritz aveva comunicato, con lettera al dipendente (LH) la cessazione a partire dal 18 agosto 2018 del rapporto di lavoro esistente con LH in qualità di DPO interno della Società stessa a seguito di una ristrutturazione interna in base alla quale “l’attività di consulente legale interno e il servizio di protezione dei dati doveva essere esternalizzato”.
Il GDPR assegna al Responsabile della Protezione dei Dati (Data Protection Officer) una funzione di garanzia, non di gestione. Gli articoli 35-39 del Regolamento UE 2016/679 ne delineano con precisione i compiti:
Si intitola “Il Data Protection Officer tra regole e prassi”, il nuovo libro, curato da Rocco Panetta, Tommaso Mauro, e Federico Sartore con la prefazione di Guido Scorza, che affronta in maniera analitica l'analisi dell'impianto normativo dedicato alla regolamentazione del data protection officer.
Lo stato dell’arte è un parametro già noto all’interno della normativa europea in più ambiti e settori, e poichè esso è un elemento dinamico il DPO deve intervenire fornendo consulenza e informazione al riguardo.
Il Data Protection Officer è una funzione di così recente introduzione che stiamo tutti imparando a comprendere come deve esercitare, nel migliore dei modi, il suo ruolo, in particolare in condizioni complesse. In questo articolo si vuole approfondire un tema specifico, spesso trascurato, che riguarda l’invasività delle indagini che il DPO deve svolgere nel rispetto del principio della minimizzazione dei dati. Egli si può trovare infatti a condurre indagini, in modo sostanzialmente analogo a quanto viene svolto dall’Organismo di Vigilanza nominato ai sensi del D.lgs 231/2001, per approfondire, ad esempio:
Niente compenso al Dpo che non ha svolto attività. Il responsabile della protezione dei dati deve dimostrare le prestazioni effettuate, altrimenti non ha diritto ad essere pagato. Per il professionista non basta assumersi la responsabilità della funzione. È quanto ha stabilito il tribunale civile di Prato con la sentenza n. 665 del 19 agosto 2024.
Per leggere l'articolo integrale devi effettuare il login!
