Il Data Protection Officer è una “figura artificiale”, creata ex lege dal Gdpr anziché dal mercato, e come insegnano i vari precedenti della storia del diritto, in casi analoghi il rischio è che i risultati siano modesti, o addirittura deludenti. Ma il futuro della categoria dei DPO è nelle mani degli stessi professionisti che svolgono questo ruolo, i quali devono evitare il rischio di diventare una semplice controfigura del titolare che deve assolvere ad un obbligo formale introdotto dal Regolamento Europeo sulla protezione dei dati. È questo il ragionamento di base su cui si è sviluppato il dibattito in un incontro organizzato da Federprivacy venerdì 26 febbraio a cui hanno partecipato oltre quattrocento professionisti di multinazionali ed altre grandi realtà italiane.

ByteDance, società proprietaria di TikTok, ha chiuso dopo oltre un anno una class action negli Stati Uniti per violazione delle norme sulla privacy. ByteDance ha accettato di pagare 92 milioni di dollari per porre fine al contenzioso, anche se la celebre piattaforma social si è sempre dichiarata innocente ed ha respinto tutte le accuse.

Per la conservazione delle fatture elettroniche verso la proroga di almeno tre mesi del termine, fissato attualmente al 28 febbraio 2020. È questo ciò che sta valutando l'Agenzia delle entrate, dopo il via libera del Garante della privacy e sullo stimolo del sindacato nazionale dei dottori commercialisti e degli esperti contabili (Adc nazionale).

Nonostante l’arrivo “lungo” - era collegato al recepimento della IV direttiva antiriciclaggio dell’estate 2017 - l’imminente decreto del Mef, di concerto con il Mise, sul «Registro della titolarità effettiva delle imprese dotate di personalità giuridica, delle persone giuridiche private, dei trust e degli istituti e soggetti giuridici affini», non risolve tutti i problemi e i potenziali conflitti su un campo di gioco delicatissimo per definizione. Trasparenza del sistema finanziario e privacy dei suoi protagonisti, del resto, sono da sempre poli opposti del dibattito pubblico. La sintesi trovata dal regolatore non sembra però soddisfare le aspettative della platea, molto differenziata, dei destinatari.

Si sono lette, in questi giorni, alcune critiche rispetto alle indicazioni fornite dal Garante per la protezione dei dati personali sulla vaccinazione dei dipendenti. Si tratta, naturalmente, di un tema di per sé delicatissimo e discusso, nella ricerca della soluzione più idonea a coniugare esigenze di sanità pubblica e diritti individuali. Questa tensione tra dimensione individuale e collettiva è, del resto, sottesa allo stesso articolo 32 della Costituzione, che qualifica il diritto alla salute come diritto fondamentale e, ad un tempo, interesse della collettività.

Il Codice della privacy esclude la divulgazione dei nomi delle vittime di violenza sessuale, a meno che sia necessaria ai fini della corretta informazione sulla vicenda e che tale informazione corrisponda a un essenziale interesse pubblico. La Corte di cassazione con la sentenza n. 4690/2021 ha accolto il ricorso di una moglie che, violentata dal marito in un ambito di maltrattamenti in famiglia, lamentava la pubblicazione da parte di un giornalista delle proprie generalità.

Lo studio legale Jones Day è stato vittima di un attacco ransomware e i pirati stanno pubblicando i dati rubati. L’origine potrebbe essere il data breach di Accelion. Anche i documenti riservati sulla battaglia legale portata da Donald Trump per poter sovvertire il risultato delle recenti elezioni presidenziali negli USA sarebbero finiti sul Dark Web.

Le strutture sanitarie devono adottare tutte le misure tecniche e organizzative necessarie per evitare che i dati dei loro pazienti siano comunicati per errore ad altre persone. Lo ha ricordato il Garante per la privacy nel sanzionare due ospedali e una Asl per le violazioni di dati personali causati non da attacchi informatici esterni, ma da procedure inadeguate e da semplici errori materiali del personale.

Il Garante ha sanzionato per 30.000 euro l’Azienda sanitaria provinciale (Asp) di Enna per l’utilizzo di un sistema di rilevazione delle presenze basato sul trattamento di dati biometrici dei dipendenti. A seguito del rafforzamento delle garanzie previste dal Regolamento e dal Codice privacy, per installare questo tipo di sistemi è necessaria infatti una base normativa che sia proporzionata all’obiettivo perseguito e che fissi misure appropriate e specifiche per tutelare i diritti degli interessati. Nel caso della Asp di Enna la base normativa invocata era carente, non essendo stato adottato il regolamento attuativo della legge 56/2019 (poi abrogata) che doveva stabilire garanzie per circoscrivere gli ambiti di applicazione e regolare le principali modalità del trattamento.

ll Consiglio d’Europa ha chiesto regole rigide per evitare i grandi rischi per la privacy e la protezione dei dati posti dall’utilizzo crescente delle tecnologie di riconoscimento facciale. Il 28 gennaio 2021, nella Giornata europea per la protezione dei dati, il Comitato Consultivo della Convenzione 108, istituito presso il Consiglio d’Europa, ha adottato linee guida in materia. Le linee guida, che si fondano sui principi della Convenzione 108 modernizzata, forniscono una serie di misure di riferimento che governi, sviluppatori di sistemi di riconoscimento facciale, produttori, aziende e pubbliche amministrazioni dovrebbero adottare per garantire che l’impiego di queste tecnologie non pregiudichi la dignità della persona, i diritti umani e le libertà fondamentali.