Aggiornare i regolamenti dei servizi con la funzione e/o l'ufficio del Dpo; inserire nei bandi di gara clausole specifiche sulla gestione dei conflitti di interesse del Dpo; integrare i contratti con le società di servizi che forniscono il servizio di Dpo con garanzie di autonomia per il referente destinato a questo compito. Sono alcune delle ricadute derivanti dal provvedimento del Garante della privacy n. 186 del 29 aprile 2021, dedicato a designazione, posizione e compiti del Dpo in ambito pubblico. Il documento in molti punti fornisce indirizzi che necessitano interventi di dettaglio nei singoli enti, come evidenziato nella tabella in pagina. Vediamo, dunque, come è possibile muoversi per scongiurare ispezioni e sanzioni.

Il Garante per la protezione dei dati personali ha adottato un provvedimento con il quale ha "avvertito" formalmente la Regione Campania che il sistema di certificazione di avvenuta vaccinazione, guarigione o negatività - promosso dalla Regione come condizione necessaria per la fruizione di innumerevoli servizi come quelli turistici, alberghieri, di wedding, trasporti e spettacoli - viola la normativa sulla privacy. Il sistema è previsto da un'ordinanza del Presidente della Campania che demanda all'Unità di crisi regionale la definizione delle modalità operative e la distribuzione di smart card su cui saranno registrati i pass Covid regionali.

Dall'inizio della pandemia da Covid-19 il Garante per la protezione dei dati personali ("Garante Privacy"), pur riconoscendo l'interesse preminente alla tutela della salute, è intervenuto a garanzia della protezione dei dati personali. In un contesto del tutto emergenziale, il Garante Privacy ha introdotto un regime eccezionale e derogatorio volto ad attribuire al datore di lavoro un certo margine di elasticità per il trattamento dei dati – anche particolari - dei lavoratori (es. dati contenuti all'interno di autodichiarazioni circa contatti stretti con positivi o soggiorni in Paesi vietati dall'OMS nei ultimi 14 giorni, dati sulla temperatura corporea pur senza annotazione del dato relativo alla salute).

Il Presidente del Garante per la protezione dei dati personali, Pasquale Stanzione, e il Presidente del Garante nazionale dei diritti delle persone private della libertà personale, Mauro Palma, hanno sottoscritto un protocollo d’intesa sulla tutela di soggetti privati della libertà personale. Le due Autorità coopereranno per proteggere la dignità e i diritti dei detenuti e di altre persone sottoposte a forme di limitazione della libertà, come i migranti trattenuti nei Cpr (Centri per i rimpatri) e gli ospiti delle Rems (Residenze per l'esecuzione delle misure di sicurezza).

Stretta della Cassazione in materia di privacy sulle piattaforme web per la creazione di profili reputazionali. L'algoritmo di funzionamento deve essere conosciuto ed oggetto di un consenso specifico da parte del cliente. Lo ha stabilito la Prima sezione civile, sentenza n. 14381 depositata oggi, accogliendo il ricorso del Garante privacy nei confronti di Mevaluate Onlus. Un'Associazione che si propone di contrastare "fenomeni basati sulla creazione di profili artefatti o inveritieri e di calcolare in maniera imparziale il cd. rating reputazione, in modo da consentire a terzi una verifica di reale credibilità".

Esattamente tre anni fa, il 25 maggio 2018 entrava definitivamente in vigore il GDPR (General Data Protection Regulation), e lo stesso giorno a Roma si teneva il 7° Privacy Day Forum organizzato da Federprivacy per celebrare il nuovo regolamento dell'Unione Europea che per la prima volta nella storia ha introdotto una unica normativa sulla privacy per tutti gli stati membri.

Nella pubblica amministrazione stop alla incetta di nomine di Dpo (Responsabile della protezione dei dati); freno alla nomina in questo ruolo di fornitori esterni di information technology (It) e di avvocati che difendono l'ente; illegittimo riservare le gare per sceglierlo a chi ha un particolare titolo (laurea, certificazione, iscrizione a un albo). Sono alcune delle indicazioni fornite dal Garante della privacy con il «Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati in ambito pubblico», che tutte le p.a. sono obbligate a nominare (art. 37 regolamento Ue n. 2016/679 o Gdpr). Il documento, allegato al provvedimento del Garante n. 186 del 29/4/2021, dà molte indicazioni pratiche, ma numerosi aspetti rimangono ancora a carico dei singoli enti, che devono valutare il da farsi caso per caso.

Pubblicato il numero 2-2021 del magazine Privacy News, che dedica la copertina di questa nuova edizione alle criticità del crescente uso di WhatsApp per le comunicazioni aziendali, e alle sfide della digital economy. Con una tiratura di 10.000 copie, nei prossimi giorni scorsi la rivista sarà spedita gratuitamente a tutti gli associati, e anche a chi fa richiesta di una copia saggio tramite l'apposito form online.

Dopo la 64esima classe del Master Privacy Officer e Consulente della Privacy svoltasi la settimana scorsa con 30 partecipanti di ogni parte d’Italia, l’ultima edizione in programma del corso di Federprivacy prima della pausa estiva si svolgerà dal 5 al 10 luglio, e sono rimasti solo alcuni posti disponibili.  Il master, accreditato dal Consiglio Nazionale Forense (CNF) con il riconoscimento di 20 crediti formativi per gli avvocati, è valido ai fini della certificazione di Privacy Officer e Consulente della Privacy rilasciata da Tüv Italia.

Uno dei temi più seguiti dagli addetti ai lavori è quello del «diritto all'oblio», in particolare quando e se questo diritto deve prevalere sul diritto di cronaca e di espressione. Mi viene segnalata, al riguardo, una recentissima determinazione del nostro Garante per la privacy relativa all'eventuale cancellazione di un articolo dell'archivio online di un quotidiano.