Nel provvedimento 141 del 9 luglio 2020 (doc. web n. 9440117) il Garante evidenzia come la tempestività del titolare del trattamento nell’effettuare la notificazione di un data breach e l’immediata adozione di misure correttive non esonerano lo stesso da responsabilità per il trattamento illecito di dati personali.
Quello dei “furbetti del cartellino” è da tempo un problema spinoso che datori di lavoro pubblici e privati cercano di risolvere, escogitando spesso soluzioni tecnologiche che non sempre però sono rispettose della normativa sulla protezione dei dati personali.
Una ex dipendente del Comune di Greve in Chianti (Firenze) presentava reclamo all’Autorità Garante dolendosi della pubblicazione, nella sezione “Albo online” del sito web del Comune, di una determinazione al cui interno erano menzionati riferimenti a vicende relative al suo rapporto di lavoro. In particolare, la determinazione conteneva riferimenti alla propria persona, essendo seppur menzionata tramite le iniziali del proprio cognome e nome, nonché dati personali relativi a condanne penali e reati.
Chiedere lumi al Dpo fa sempre bene al titolare del trattamento. Anche solo per abbassare l’importo della sanzione per violazione della normativa sulla protezione dei dati. Ma qual è il ruolo del Data Protection Officer? A ben vedere, in effetti, il Dpo si mette sempre in gioco e rischia, al di là di quanto gli competa, di diventare una posizione di garanzia o, altrimenti detto, un parafulmine. Sullo sfondo, il Considerando 77 del Gdpr, neppure tanto di sottecchi, ormai allunga la sua ombra: un “Considerando” che dota il Dpo di super poteri, ma che poi lo colloca su un piedistallo scivoloso; un “Considerando” che mette l’acceleratore a una priorità assoluta e cioè avere un repertorio delle “indicazioni del Dpo” per specifici settori.
Se la banca vi ha negato un finanziamento e volete sapere quali sono le motivazioni, potete pagare e conoscerle rapidamente on line nel giro di qualche giorno o addirittura entro pochi minuti. Ma se l’idea di pagare per avere le informazioni che vi riguardano non vi va proprio a genio, allora dovete prendere carta e penna e scrivere una lettera di richiesta sperando di ricevere riscontro entro un mese. Questa è in sostanza la prassi che aveva adottato il Bureau Krediet Registratie (BKR) con i cittadini olandesi, dimenticando che il diritto di accesso ai dati personali è essenzialmente gratuito.
E' sicuro che la decisione della Corte di Giustizia dell'Unione Europea nella causa C-311/18 del 16 luglio 2020 - la c.d. sentenza “Schrems II” - dovrà essere ricordata e metabolizzata per qualcosa di più che per il colpo di ghigliottina inferto al “Privacy Shield”. C'è, in buona sintesi, un argomento/punto – certo non nuovo! - su cui deve/dovrà concentrarsi l'attenzione degli interpreti e degli operatori. Con la domanda di pronuncia pregiudiziale, il giudice del rinvio ha interrogato la CGUE sulla applicabilità del Regolamento UE 2016/679 (d'ora in poi anche solo 'Regolamento') a trasferimenti di dati personali fondati su clausole tipo di protezione contenute nella decisione 2010/87, sul livello di protezione richiesto nel quadro di un trasferimento siffatto e sugli obblighi correlativamente incombenti sulle autorità di controllo.
