Dpo delle scuole pagati due soldi. E la qualità delle prestazioni ne risente. Sono passati più di sei anni dall’inizio di operatività del Gdpr, che ha introdotto la figura del Dpo. Ma i compensi previsti negli avvisi di selezione delle scuole, limitati a qualche centinaio di euro per un anno (oneri compresi), continuano ad essere considerati del tutto normali.
Per leggere l'articolo integrale devi effettuare il login!
Con le numerose criticità sui temi della privacy che sono emerse negli ambienti di lavoro durante l’emergenza sanitaria da Covid-19, una figura che si è rivelata particolarmente proattiva e che ha fatto sentire il suo peso è quella del Data Protection Officer. Ad evidenziarlo è un sondaggio condotto dall’Osservatorio di Federprivacy che ha già raccolto i feedback da un campione di quasi 1.000 Dpo e altri addetti ai lavori che in questo periodo vivono quotidianamente in prima persona tutte le difficoltà che le aziende stanno affrontando per cercare di conciliare la sicurezza con la protezione dei dati personali.
Da quando il Gdpr ha introdotto la figura del Data Protection Officer, molti professionisti che ricoprono questo ruolo hanno compreso che devono svolgere non solo attività ordinarie, ma può capitare anche di essere coinvolti in casi che presentano delle criticità o vere e proprie emergenze che hanno un impatto sui dati personali, come è accaduto durante la pandemia, oppure come può succedere in caso in cui l’azienda venga colpita da un ransomware o da altri data breach, o altre situazioni emergenziali. Il sondaggio di Federprivacy.
Non abbiamo fatto in tempo a scrollarci dietro le spalle due anni di pandemia da Covid-19, che a peggiorare la situazione è arrivata pure la guerra in Ucraina. Quanto è vero che viviamo in tempi difficili e che la ricerca di una vita serena si fa sempre più complicata, spesso le ripercussioni della situazione generale si avvertono anche nelle attività lavorative, comprese quelle dei data protection officer e degli altri addetti ai lavori che operano nel campo della privacy.
Squarciato il velo sui Dpo. Il Gdpr in materia di Responsabile della protezione dei dati è un campo minato. Pieno di insidie. E gli interventi punitivi, seppure limitati a qualche unità, fanno scorgere tempeste all’orizzonte. Non è tanto il tabellino delle sanzioni già elevate che preoccupa, quanto la possibilità, illimitata, di sanzionare qualsiasi titolare o responsabile del trattamento per fatti od omissioni riguardanti il Data Protection Officer.
I Dpo stentano a farsi accettare: solo la metà delle volte sono completamente ascoltati, ma se capita un attacco informatico sono convocati l'80% dei casi; un terzo non ha risorse sufficienti, qualche volta sono incaricati di compiti vietati dal Gdpr e, allo stesso tempo, non sempre fanno quel che sono tenuti a fare (come la sorveglianza interna sulla conformità privacy).
Per leggere l'articolo integrale devi effettuare il login!
Il Data Protection Officer è una “figura artificiale”, creata ex lege dal Gdpr anziché dal mercato, e come insegnano i vari precedenti della storia del diritto, in casi analoghi il rischio è che i risultati siano modesti, o addirittura deludenti. Ma il futuro della categoria dei DPO è nelle mani degli stessi professionisti che svolgono questo ruolo, i quali devono evitare il rischio di diventare una semplice controfigura del titolare che deve assolvere ad un obbligo formale introdotto dal Regolamento Europeo sulla protezione dei dati. È questo il ragionamento di base su cui si è sviluppato il dibattito in un incontro organizzato da Federprivacy venerdì 26 febbraio a cui hanno partecipato oltre quattrocento professionisti di multinazionali ed altre grandi realtà italiane.
L’atteggiamento italiano verso la privacy europea lo si può forse capire dall’andamento degli iscritti al registro del responsabile dei dati (Dpo) tenuto dal Garante. Agli inizi di luglio risultano presenti nell’archivio circa 35.300 di quei profili, oltre 21mila dei quali hanno inviato la comunicazione all’Autorità a ridosso del d-day, ovvero quel 25 maggio in cui in tutta la Ue sono diventate operative le nuove regole sulla tutela dei dati.
Per leggere l'articolo integrale devi effettuare il login!
Programmati due eventi formativi di una giornata ciascuno per i DPO prima della pausa estiva, rispettivamente il Corso di autodifesa per Data Protection Officer che si svolgerà il 5 luglio 2021 con la docenza dell’Avv. Antonio Ciccia Messina, e il Corso di formazione “Il ruolo e le attività del Data Protection Officer" con la docenza dell’Ing. Monica Perego.
Nel ventaglio delle casistiche e l’aneddotica che orbita attorno alla figura del DPO abbondano gli esempi relativi alle modalità di adempimento dell’obbligo di pubblicazione dei dati di contatto. E in questi ambiti si passa da chi pubblica persino il numero di telefono cellulare personale del DPO a chi, ponendosi agli antipodi, predispone una serie di moduli da compilare come unica modalità mediante la quale l’interessato può relazionarsi con la funzione. Entrambi sono eccessi di segno opposto, indiziari di incertezza applicativa. Che nel secondo caso è una pratica che espone al rischio di violazione dell’art. 37.7 GDPR.
