Come è noto, per essere in grado di adempiere ai compiti che gli sono attribuiti dall’art.39 del Gdpr, il data protection officer deve possedere competenze giuridiche, informatiche, e anche organizzative. Tuttavia, anche in presenza di tutte queste skills, non si può dare affatto per scontato che il professionista designato sia effettivamente idoneo a svolgere il ruolo di Dpo.
Il Comitato europeo per la protezione dei dati (European Data Protection Board) ha dato il via alla sua azione coordinata per l’attuazione del Regolamento nel 2023 (Coordinated Enforcement Framework - CEF 2023). Nel corso dell'anno, 26 Autorità di controllo dello Spazio Economico Europeo (SEE), compreso il Garante europeo della protezione dei dati (EDPS), parteciperanno al CEF 2023 focalizzandosi sulla designazione e la posizione dei Responsabili della protezione dei dati (Data Protection Officer).
Come prescritto dall’art.37 del GDPR, la nomina di un data protection officer è obbligatoria per le pubbliche amministrazioni, ma a quanto pare non tutti gli enti pubblici hanno ancora adempiuto, nonostante che il Regolamento Europeo sia operativo da ormai quattro anni. Ad evidenziare questa carenza è la CNIL, autorità per la protezione dei dati personali francese, che ha intimato a 22 comuni di nominare un DPO entro quattro mesi.
Il Garante per la protezione dei dati personali, con il provvedimento n. 363 del 31 agosto 2023 si è pronunciato su un caso di incompatibilità della funzione IT con il ruolo di DPO particolarmente utile che conferma e dà evidenza sia di un metodo di valutazione quanto dei criteri da seguire.
Nella pubblica amministrazione stop alla incetta di nomine di Dpo (Responsabile della protezione dei dati); freno alla nomina in questo ruolo di fornitori esterni di information technology (It) e di avvocati che difendono l'ente; illegittimo riservare le gare per sceglierlo a chi ha un particolare titolo (laurea, certificazione, iscrizione a un albo). Sono alcune delle indicazioni fornite dal Garante della privacy con il «Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati in ambito pubblico», che tutte le p.a. sono obbligate a nominare (art. 37 regolamento Ue n. 2016/679 o Gdpr). Il documento, allegato al provvedimento del Garante n. 186 del 29/4/2021, dà molte indicazioni pratiche, ma numerosi aspetti rimangono ancora a carico dei singoli enti, che devono valutare il da farsi caso per caso.
In base all'articolo 37, paragrafo 7 del Regolamento UE/2016/679 occorre che i soggetti pubblici e privati comunichino al Garante per la protezione dei dati personali il nominativo del Responsabile della Protezione dei dati, se designato. Questa disposizione mira a garantire che le autorità di controllo possano contattare il Responsabile della Protezione dei Dati in modo facile e diretto, come chiarito nelle Linee guida sui Responsabili della Protezione dei Dati (RPD) adottate dal Gruppo Articolo 29 (WP 243 rev. 01 - punto 2.6).
Il nuovo regolamento europeo sulla privacy che entrerà in vigore il 25 maggio non comporterà conseguenze per i singoli professionisti e gli studi di piccole dimensioni. La rassicurazione è stata data da Augusta Iannini, vicepresidente del Garante privacy, intervenendo ieri a un forum organizzato dalla Fondazione studi e dal Consiglio nazionale dell’Ordine dei consulenti del lavoro. Tuttavia gli Ordini professionali dovranno dotarsi di un Dpo, in quanto soggetti di diritto pubblico.
General Data Protection Regulation (Gdpr): porta questo nome il regolamento portatore di una rivoluzione sugli obblighi delle imprese sul fronte della protezione dei dati personali, in vigore da venerdì 25 maggio. Fra i soggetti che dovranno vedersela con una serie di nuovi adempimenti ci sono proprio i siti web, anche se la strada per l’adeguamento alle nuove norme europee (regolamento Ue 2016/679) sembra ancora lunga. “A parte la maggioranza delle grandi aziende che hanno affrontato per tempo il tema del Gdpr”, ha dichiarato il presidente di Federprivacy, Nicola Bernardi, in un evento romano dedicato al tema, “per pmi e pubbliche amministrazioni saranno necessari diversi mesi prima che si possa auspicare di vedere un livello di conformità accettabile e, come nel caso dell’euro, occorre un loro cambio di mentalità”.
La banca dati dei responsabili della protezione dei dati (Dpo) prende forma. In settimana, infatti, partirà la procedura telematica che consente ai titolari e ai responsabili del trattamento di comunicare al Garante la designazione della nuova figura della privacy. L’Autorità della riservatezza ha messo a punto la modulistica per l’invio online. Modelli da disponibili sul sito dell’Authority in modo da dare possibilità a tutti i soggetti interessati - cittadini, imprese e pubbliche amministrazioni - di prepararsi all’inoltro elettronico.
Il DPO deve essere promotore di una pianificazione coerente e solida della continuità aziendale anche in caso di condizione emergenziale, al fine di garantire i diritti e le liberta dell’interessato, considerando il bilanciamento di tutti gli interessi in gioco, le priorità, le risorse economiche disponibili. Spunti importanti da alcuni standard ISO.
