La funzione e le attività dei Data Protection Officer sono piene di insidie e trabocchetti. Occorrono strumenti e accorgimenti pratici per districarsi in un vero e proprio labirinto di norme e riuscire a minimizzare responsabilità e rischi: dalle clausole specifiche nei contratti di conferimento dell’incarico alla attenta modalità di redazione degli atti proprio del ruolo; dalla gestione dei conflitti di interesse alla condotte efficaci in caso di contenzioso con il titolare del trattamento. A seguito dell'interesse riscontrato nelle precedenti edizioni a cui hanno partecipato già oltre 500 addetti ai lavori, è stata programmata una nuova edizione del Corso di autodifesa per Data Protection Officer per martedì 8 febbraio 2022.
Tra i problemi che giornalmente all’interno delle aziende gli “addetti alla privacy” (DPO, Privacy Officer e consulenti), devono affrontare e risolvere, ci sono sistematiche incomprensioni, divergenze e disaccordi con i “non addetti alla privacy”. Capita, infatti, che talvolta detti professionisti, quando forniscono le giuste indicazioni ed istruzioni per risolvere problemi organizzativi o contrattuali, vengano inopinatamente osteggiati da colleghi o clienti che non comprendono la fondatezza, la validità e l’utilità di tali istruzioni/indicazioni.
La CNIL, Autorità Garante della Francia, ha sanzionato il lontano comune di Kourou (ubicato nella Guyana francese, un dipartimento della Francia d'oltremare) per la mancata nomina del Responsabile della Protezione dei Dati (RPD), figura la cui presenza è obbligatoriamente prevista per i titolari che siano autorità e organismi pubblici, quale che ne sia la dimensione.
Maggiori garanzie per gli utenti, che potranno rivolgersi direttamente al DPO per esercitare i loro diritti ed esigere il rispetto delle regole. Dedicato al "responsabile della protezione dei dati" la prima di una serie di video pillole informative per spiegare ad aziende e cittadini come cambia la privacy con il nuovo Regolamento UE 2016/679. Bernardi: "Protezione dei dati è un diritto di libertà, e buona parte delle speranze dei cittadini per una svolta nella tutela della loro privacy è nelle mani dei data protection officer". In Italia TÜV certifica il Privacy Officer.
La formazione viene espressamente richiamata dall’art. 38 par. 2 GDPR come dovere in capo all’organizzazione che procede alla designazione del DPO, il quale deve mantenere quella “conoscenza specialistica” che ne ha consentito la selezione in conformità all’art. 37 par. 5 GDPR e che, di conseguenza, deve avere un carattere permanente.
Una maledizione aleggia sul DPO da sempre, o meglio, da quando gli articoli da 37 a 39, con l'intero Regolamento UE 2016/679 (GDPR), sono entrati in vigore (e, dopo due anni, divenuti applicabili). Discende immediatamente dal primo paragrafo dell'art. 37 che stabilisce, al ricorrere di una delle tre fattispecie individuate dalle lettere a), b) e c), l'obbligatorietà della designazione del Data Protection Officer.
Quando cambia il Dpo (responsabile della protezione dei dati), la scuola deve comunicare la variazione al Garante della privacy. Altrimenti rischia una sanzione amministrativa. È quanto si desume da una ingiunzione del Garante (n. 166 del 27 aprile 2023), che, in un caso di omessa comunicazione, ha irrogato una sanzione di 8 mila euro (importo cumulativo anche per altre violazioni). La regola, desumibile dalla citata ingiunzione, applicata dal Garante a un ente locale, vale anche per le istituzioni scolastiche, considerato che la disciplina del Dpo prevista dal Regolamento UE sulla protezione dei dati n. 2016/679 (Gdpr) è la stessa per tutte le pubbliche amministrazioni.
Per leggere questo articolo devi essere registrato ed effettuare il login!
Quando negli anni '90 sorse la necessità per le grandi società americane di tutelarsi dalle crescenti preoccupazioni che i consumatori nutrivano riguardo l’utilizzo dei loro dati personali man mano che si sviluppava il mondo digitale, fu istituita la figura del “Privacy Officer”, che fu concepita come difensore delle aziende.
Come controllare che sia tutto a posto con il DPO nell’organizzazione? Si deve necessariamente partire dalla procedura di selezione, con tutte le evidenze documentali a comprovare che siano state fatte tutte le dovute valutazioni.
Il fil rouge del Cyber & Privacy Forum di Verona è stato la sinergie fra le funzioni di garanzia di data protection, quali sono i professionisti della privacy e emblematicamente i DPO, e della sicurezza informatica, quali i sysadmin e il CISO.
