Già presidio di garanzia per la protezione degli interessati vulnerabili, il Data Protection Officer assume un ruolo ancora più rilevante nella realizzazione di tutele effettive e concrete richieste nel momento in cui sono svolte attività di trattamento che coinvolgono dati personali dei minori. Occorre però compiere preliminarmente alcune considerazioni fondamentali a seconda degli ambiti di operatività delle organizzazioni.
Un recente provvedimento dell’Autorità Garante per la protezione dei dati personali (Provv. 10.11.2022, doc. web n.9832838) si è occupato nuovamente del trattamento di dati biometrici in ambienti di lavoro affermando che è ammissibile solo se necessario per adempiere gli obblighi ed esercitare i diritti del datore di lavoro previsti da una disposizione normativa.
Compilare in modo corretto un registro dei trattamenti, è noto, rappresenta uno degli adempimenti fondamentali per ciascun titolare o responsabile del trattamento. La deroga di cui all’art. 30.5 GDPR per cui non sussiste tale obbligo si può dire di rara applicazione, dal momento che come ha ribadito l’EDPB confermando il position paper assunto già in aprile 2018 le attività di trattamento che possono essere escluse dal registro delle organizzazioni con meno di 250 dipendenti possono riguardare solo trattamenti occasionali di dati non rientranti nelle categorie particolari o relativi a condanne penali e reati per cui non sussiste alcun rischio per gli interessati.
Ogni persona ha il diritto di sapere a chi vengono comunicati i propri dati personali. Lo ha affermato il 12 gennaio 2023 la Corte di giustizia dell'Ue con la sentenza nella Causa C-154/21, aggiungendo che il titolare del trattamento può tuttavia limitarsi a indicare le categorie di destinatari qualora sia impossibile identificare questi ultimi, o nel caso la richiesta sia manifestamente infondata o eccessiva.
A seguito delle decisioni vincolanti sulla risoluzione delle controversie dell'European Data Protection Board (EDPB) del 5 dicembre 2022, l'autorità irlandese per la protezione dei dati (Data Protection Commission) ha adottato le proprie decisioni relative a Facebook e Instagram (Meta Platforms Ireland Limited, "Meta IE"). Queste decisioni sono il risultato di indagini basate su reclami sulle attività di Facebook e Instagram, in particolare per quanto riguarda la liceità e la trasparenza del trattamento per la pubblicità comportamentale. Meta è stata multata dalla Data Protection Commission per 210 milioni di euro nella decisione di Facebook e per 180 milioni di euro nella decisione di Instagram, per un totale di 390 milioni di euro di sanzioni.
All’esito dell’attività ispettiva condotta da parte dell’Autorità Garante per la protezione dei dati personali iniziata nel 2021, l’ambito della videosorveglianza ha registrato un rilevante numero di non conformità per lo più riconducibili a trasparenza, liceità e limitazione della conservazione.
