Lo stato dell’arte è un parametro già noto all’interno della normativa europea in più ambiti e settori, e poichè esso è un elemento dinamico il DPO deve intervenire fornendo consulenza e informazione al riguardo.
Il Data Protection Officer è una funzione di così recente introduzione che stiamo tutti imparando a comprendere come deve esercitare, nel migliore dei modi, il suo ruolo, in particolare in condizioni complesse. In questo articolo si vuole approfondire un tema specifico, spesso trascurato, che riguarda l’invasività delle indagini che il DPO deve svolgere nel rispetto del principio della minimizzazione dei dati. Egli si può trovare infatti a condurre indagini, in modo sostanzialmente analogo a quanto viene svolto dall’Organismo di Vigilanza nominato ai sensi del D.lgs 231/2001, per approfondire, ad esempio:
Anche in materia di sanità pubblica il responsabile della protezione dei dati personali (DPO) è un mero consulente che non deve firmare le informative o assumere ruoli tipici del titolare del trattamento. La responsabilità e gli obblighi privacy gravano infatti su quest'ultimo soggetto ovvero l'azienda sanitaria locale con tutta la sua struttura organizzativa e dirigenziale. Così il Garante per la protezione dei dati personali con l'ordinanza ingiunzione 8/2022.
Da fissare un monte ore congruo per l'attività di Dpo. Non è un ruolo di rappresentanza, ma un soggetto che le scuole devono coinvolgere sistematicamente in ogni evenienza riguardante il trattamento dei dati personali. Non può essere, pertanto, un compito svolto nei ritagli di tempo.
Per leggere questo articolo devi essere registrato ed effettuare il login!
Con l’adozione di quattro provvedimenti sanzionatori nei confronti di enti locali, il Garante Privacy ha concluso la prima fase dell’indagine avviata per verificare il rispetto dell’obbligo di comunicazione all’Autorità dei dati di contatto del Responsabile della protezione dei dati (RPD, o Data protection officer, DPO).
In occasione della definitiva applicazione del Regolamento europeo in materia di protezione dei dati personali (Regolamento UE/2016/679), il 24 maggio, a Bologna (Palazzo dei Congressi - Piazza della Costituzione 4), il Garante privacy incontrerà i Responsabili della Protezione dei Dati (RPD). L'obiettivo è offrire a queste nuove figure - centrali nel processo di attuazione del principio di "responsabilizzazione" (accountability) - le prime indicazioni utili per l'attuazione dei compiti e per la definizione delle modalità di relazione con l'Autorità.
Il Garante italiano ha chiarito che l'attribuzione delle funzioni di responsabile della protezione dei dati al responsabile per la prevenzione della corruzione e per la trasparenza, considerata la molteplicità degli adempimenti che incombono su tale figura, potrebbe rischiare di creare un cumulo di impegni tali da incidere negativamente sull'effettività dello svolgimento dei compiti che il Regolamento europeo 2016/679 attribuisce al responsabile della protezione dei dati.
La tematica dell’age verification è quanto mai attuale e promossa anche dalle autorità di controllo europee, sebbene con degli inviti alla prudenza circa l’adozione di tali sistemi. Difatti, è indubbio che internet sia e debba essere un luogo sicuro anche per i minori.
Nell’ambito delle attività necessarie al fine di garantire la conformità con la normativa, è necessario che il Titolare predisponga anche una “procedura ispezioni” o “di collaborazione con l’autorità”, che definisca i soggetti da coinvolgere ed i comportamenti da tenere in caso di ispezioni dell’autorità di controllo.
La gestione delle risorse umane rientra indubbiamente tra le funzioni di un’impresa a maggiore impatto sotto il profilo della tutela dei dati personali. In questo contesto, il DPO assume un ruolo cruciale, chiamato a verificare la conformità al GDPR e alle normative vigenti di ogni trattamento dei dati personali effettuato, mantenendo impregiudicata la tutela dei diritti dei lavoratori.
