Quando la funzione di Data Protection Officer è assegnata ad una persona giuridica, il referente dalla stessa designato a svolgere le attività non deve essere necessariamente un suo dipendente. Lo ha specificato il Garante per la protezione dei dati personali con una nota di chiarimenti (protocollo n. 16763 del 6 maggio 2020), rivolta a una azienda sanitaria locale piemontese. Questa Asl ha bandito una gara per l’affidamento della funzione di Dpo e, nel corso del procedimento, ha escluso una società partecipante, la quale ha indicato un avvocato come designato a svolgere le relative funzioni.
Di recente sul Wall Street Journal è apparso un articolo di Angus Loten intitolato “Financial Technology Firms Tap AI to Reach More Borrowers”, in cui viene sottolineato come sia sempre più diffuso il ricorso a tecnologie di Intelligenza Artificiale per aiutare le fintech companies operanti nel settore della concessione di prestiti per aiutare imprese e anche singole persone, in primo luogo gli studenti, a reperire denaro da prestatori professionali e non per sostenere le loro attività di impresa o comunque orientate a implementare le capacità dei destinatari dei prestiti e quindi anche il valore delle loro attività presenti o future.
Il Tar Friuli Venezia Giulia interviene sui requisiti che deve rivestire il DPO nel contesto del nuovo Regolamento europeo sulla privacy e sul ruolo delle certificazioni ai fini della selezione da parte delle pubbliche amministrazioni di questo ultimo ruolo. Il ruolo del Dpo ( data protection officer) e’ eminentemente giuridico, secondo l’organo giurisdizionale amministrativo.
Esauriti i posti disponibili per il Corso di autodifesa per DPO in programma il 25 marzo con iscrizioni chiuse in anticipo e una classe di ben 50 partecipanti. Specialmente nel periodo della pandemia, molti professionisti che sono Data Protection Officer si sono infatti resi conto che si tratta di un ruolo importante ma pieno di insidie e trabocchetti, e non a caso negli ultimi mesi questo corso organizzato da Federprivacy ha visto la partecipazione di oltre 500 addetti ai lavori.
Mentre il Gdpr sta per compiere un anno, una nuova ricerca della International Association of Privacy Professionals (Iapp) indica che in tutta Europa sono circa 500.000 le organizzazioni che hanno dichiarato di aver nominato un Data Protection Officer.
A quattro anni dalla entrata in vigore del Regolamento UE 2016/679 (GDPR), un grande percorso è stato fatto con l’impegno di tutti gli attori dell’ecosistema privacy. I legislatori nazionali sono intervenuti con norme collaterali e/o applicative al GDPR, da ultimo in Italia con le innovazioni del Decreto “Capienze” ( D.L. 139 / 2021 convertito nella L. 205 /2021) per gli aspetti attinenti alla privacy nel comparto della pubblica amministrazione. e altre potranno e saranno emanate in linea con il carattere in progress della privacy anche in relazione all’innovazione tecnologica e delle forme di business.
Tra le potenziali emergenze, è la minaccia del ransomware la più temuta dai DPO (70,4%) e il 55% di essi avverte la necessità di formarsi nel campo della cybersecurity. Ad evidenziarlo è un sondaggio condotto su oltre mille addetti ai lavori. Il 57% degli intervistati include nelle situazioni di criticità anche i trattamenti illeciti di dati personali e sono più preoccupati da una possibile ispezione del Garante della Privacy (53%) che da un’eventuale nuova pandemia (17,2%). Nel 70,8% dei casi preoccupano la sottovalutazione dei rischi sui dati, e poi l’incompetenza degli addetti che trattano dati (64%), mentre il 58% degli intervistati ammette che il pericolo potrebbe essere la non sufficiente preparazione dello stesso DPO, e il 77% di essi teme di finire sotto processo da parte del management per una criticità gestita male.
Dallo scorso maggio il GDPR ha introdotto la figura del DPO per dare più tutele agli interessati, ma a distanza di sette mesi il quadro è decisamente confuso. Il 2018 è stato infatti l'anno del GDPR, ed è stato anche l'anno che ha visto l'esordio ufficiale del Data Protection Officer nel nostro ordinamento e in quelli degli altri Paesi membri dell'UE che ancora non lo prevedevano.
La notizia dell’azione coordinata dell’EDPB riguardante il ruolo dei Data Protection Officer può aver mosso qualche titolare, sia in ambito pubblico che privato, a domandarsi in che modo possa controllare il proprio DPO senza incorrere nel rischio di interferire con le garanzie di indipendenza funzionale proprie della figura. Non è mai facile andare a svolgere delle verifiche nei confronti chi è preposto ad una posizione di controllo. Tant’è che già in tempi antichi il Quis custodiet ipsos custodes? era un trend topic.
L’ampia analisi condotta da Federprivacy sui rapporti tra i siti web e la tutela dei diritti privacy nel mondo digitale merita di essere considerata con la massima attenzione. Essa è tutta incentrata sulle misure adottate da un corposo e molto articolato insieme di siti web in ordine al dovere dei titolari di trattamenti di dati personali di assicurare agli interessati una adeguata informativa privacy, completa di tutti i riferimenti normativi. Una informativa che, sia nel quadro del GDPR che degli altri documenti e Regolamenti della UE, deve essere facilmente accessibile e comprensibile da tutti i destinatari, e cioè almeno da parte di tutti gli interessati.
