Il Garante per la privacy ha ordinato al Mise il pagamento di una sanzione di 75mila euro per non avere nominato il Responsabile della protezione dati (Rpd) entro il 28 maggio 2018, data di piena applicazione del Gdpr, e avere diffuso sul sito web istituzionale informazioni personali di oltre 5mila manager.
La rotazione degli incarichi nella P.A. non preoccupa, di certo, i DPO (Responsabili della protezione dei dati) seri e preparati. E neppure gli enti pubblici che vogliono avvalersi di soggetti in grado di assicurare al meglio il servizio di “responsabile della protezione dei dati”. È questa la sintesi di una lettura, oggettiva e consapevole, dei meccanismi del mercato di riferimento della deliberazione dell’Autorità anticorruzione (Anac) n. 421 del 13 maggio 2020, e cioè del parere in merito all’applicazione del principio di rotazione ai contratti aventi ad oggetto il servizio di protezione dei dati personali (DPO).
Durante la sua ultima sessione plenaria, l'European Data Protection Board (EDPB) ha adottato una relazione sui risultati della sua seconda azione coordinata di applicazione, incentrata sulla designazione e la posizione dei Data Protection Officer.
Con il provv. 12 maggio 2022 n. 174, l’Autorità garante per la protezione dei dati personali ha sanzionato per seimila euro un Comune all’esito di un’istruttoria con cui ha accertato l’illiceità di un trattamento di dati personali e, per la prima volta, la mancanza di una valida designazione di un responsabile della protezione dei dati.
O difensore o Dpo (responsabile della protezione dei dati): un'impresa o un'amministrazione, titolari del trattamento, non possono affidare una causa all'avvocato già incaricato della funzione prevista dal Gdpr (regolamento Ue sulla protezione dei dati n. 2016/679) anche a beneficio degli interessati (clienti, utenti, ecc.), potenziali avversari del titolare del trattamento. È quanto ha deciso il Garante della privacy, che, con l'ingiunzione n. 214 del 9 giugno 2022, ha sanzionato un Comune colpevole di avere delegato per la difesa in alcuni giudizi lo stesso professionista legale già individuato come responsabile della protezione dei dati (articolo 37 del Gdpr).
Corso di formazione manageriale per DPO, fino a 100 le candidature al vaglio di Federprivacy, ma saranno solo la metà i partecipanti ammessi al percorso di 124 ore che inizierà a gennaio 2018 con esame finale il 30 marzo. Bernardi: "Per formare adeguatamente i Data Protection Officer secondo previsioni del GDPR serve ben più di un corso concentrato di quattro o cinque giorni". Dal 25 maggio 2018 sanzioni fino a 10 milioni di euro o fino al 2% del fatturato per p.a. e aziende rientranti nell'obbligo che non ottemperano.
Cambiano le regole della privacy con il Regolamento UE 2016/679, e entro il 25 maggio 2018 tutte le pubbliche amministrazioni e tutte le aziende che monitorano gli utenti in modo regolare e sistematico o che trattano dati sensibili su larga scala dovranno essersi dotate di un “responsabile della protezione dei dati”, che ai sensi dell'art.37 del nuovo testo deve essere “designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati”.
Il ministero dell'istruzione richiama tutto il personale ad informarsi sulle procedure da seguire in caso di data breach e mette in evidenza che scuole e istituti possono delegare al loro Dpo la compilazione del registro delle violazioni privacy, la cui tenuta è obbligatoria.
Per leggere questo articolo devi essere registrato ed effettuare il login!
I Dpo invocano la legittima autodifesa. Sì, proprio così, i Dpo hanno bisogno di autodifendersi per riscoprire il loro posto nel grande quadro della privacy. Autodifendersi significa riscoprire le proprie identità, fare pace con se stessi e non cadere nella depressione da multipolarità congenita. La legittima autodifesa non è solo un diritto dei Dpo, ma anche un loro cogente dovere, così da compiere l’intero tracciato del circolo virtuoso: solo, con la legittima autodifesa, i Dpo potranno fare del bene a loro stessi e, contestualmente, ai titolari del trattamento. Al contrario, senza la reazione della legittima autodifesa i Dpo faranno del male a loro stessi e ai titolari del trattamento.
L’autorità lussemburghese ha recentemente indicato che, per realtà di trattamento dati complesse, un DPO adeguato dovrebbe avere almeno tre anni di esperienza professionale. L’indicazione è stata resa nell’ambito di una attività ispettiva, in seguito alla quale una società lussemburghese veniva sanzionata dal Garante Privacy nazionale (CNPD) per aver nominato un DPO inadeguato.
