Obblighi raddoppiati per il Dpo. Ai doveri derivanti dallo status di “responsabile della protezione dei dati” si abbinano i doveri derivanti dallo status di dipendente o di consulente esterno o di ente fornitore di servizi. Il Data Protection Officer, infatti, ha sempre un doppio ruolo e i due canali sono comunicanti: con la conseguenza che le mancanze e le negligenze in un campo hanno rilevanza anche nell’altro.
La gestione di una situazione d’emergenza come un data breach è tutt’altro che semplice per un’organizzazione, ancor più se non ha approntato e diffuso correttamente una procedura a riguardo. La prima misura consiste dunque nel dotarsi di una procedura, ma non è sufficiente: è necessario che il personale che svolge le operazioni di trattamento sia stato adeguatamente sensibilizzato e abbia ricevuto un addestramento a riguardo, al fine di evitare che dalla loro impreparazione possa aggravarsi ancor più l’evento di violazione dei dati personali.
A distanza di cinque anni dalla sua introduzione sono ancora molte le aziende e le pubbliche amministrazioni che conoscono poco la figura del Data Protection Officer. Il riepilogo per capire chi deve designarlo, quali sono i compiti che gli sono attribuiti dalla legge, i requisiti che deve possedere, ed il valore delle certificazioni che lo riguardano. Parere negativo sulla Norma UNI 11697:2017 da parte di Federprivacy, che è rimasta sul proprio capitolato privato per la certificazione delle competenze del Privacy Officer rilasciata da TÜV Italia a quasi 500 professionisti.
Rischio confusione per aziende e p.a. su certificazioni in materia di privacy. Interviene il Garante per sottolineare che quelle attuali non possono definirsi conformi al Regolamento UE. Nata prima del GDPR quella promossa da Federprivacy e rilasciata da TÜV fin dal 2011 per certificare le competenze dei "Privacy Officer". Bernardi: "Certificazioni sono importante elemento di garanzia sul mercato, ma non abilitazione a ricoprire ruolo di DPO". Bolognini:"Contano competenze sostanziali, non certo iscrizioni ad ennesimi albi o bollini". Decine di commenti negativi degli stakeholder piovuti sulla Norma UNI arrivata all'inchiesta pubblica.
Dipendenti sottoposti a umilianti violazioni della loro privacy, venivano classificati in modo denigratorio in un registro istituito dal datore di lavoro senza aver mai coinvolto il Data Protection Officer. Interviene l'autorità per la protezione dei dati con sanzioni per 215.000 euro.
Sono finalmente disponibili i volumi del nuovo "Manuale di autodifesa per Data Protection Officer" di Antonio Ciccia Messina con la prefazione di Nicola Bernardi. A partire da oggi, i libri saranno quindi spediti con corriere espresso a tutti coloro che li avevano già ordinati, e a coloro che adesso li possono acquistare in pronta consegna nell’Area Shop di Federprivacy.
Con le numerose criticità sui temi della privacy che sono emerse negli ambienti di lavoro durante l’emergenza sanitaria da Covid-19, una figura che si è rivelata particolarmente proattiva e che ha fatto sentire il suo peso è quella del Data Protection Officer. Ad evidenziarlo è un sondaggio condotto dall’Osservatorio di Federprivacy che ha già raccolto i feedback da un campione di quasi 1.000 Dpo e altri addetti ai lavori che in questo periodo vivono quotidianamente in prima persona tutte le difficoltà che le aziende stanno affrontando per cercare di conciliare la sicurezza con la protezione dei dati personali.
Da quando il Gdpr ha introdotto la figura del Data Protection Officer, molti professionisti che ricoprono questo ruolo hanno compreso che devono svolgere non solo attività ordinarie, ma può capitare anche di essere coinvolti in casi che presentano delle criticità o vere e proprie emergenze che hanno un impatto sui dati personali, come è accaduto durante la pandemia, oppure come può succedere in caso in cui l’azienda venga colpita da un ransomware o da altri data breach, o altre situazioni emergenziali. Il sondaggio di Federprivacy.
Non abbiamo fatto in tempo a scrollarci dietro le spalle due anni di pandemia da Covid-19, che a peggiorare la situazione è arrivata pure la guerra in Ucraina. Quanto è vero che viviamo in tempi difficili e che la ricerca di una vita serena si fa sempre più complicata, spesso le ripercussioni della situazione generale si avvertono anche nelle attività lavorative, comprese quelle dei data protection officer e degli altri addetti ai lavori che operano nel campo della privacy.
Squarciato il velo sui Dpo. Il Gdpr in materia di Responsabile della protezione dei dati è un campo minato. Pieno di insidie. E gli interventi punitivi, seppure limitati a qualche unità, fanno scorgere tempeste all’orizzonte. Non è tanto il tabellino delle sanzioni già elevate che preoccupa, quanto la possibilità, illimitata, di sanzionare qualsiasi titolare o responsabile del trattamento per fatti od omissioni riguardanti il Data Protection Officer.
