Obblighi raddoppiati per il Dpo. Ai doveri derivanti dallo status di “responsabile della protezione dei dati” si abbinano i doveri derivanti dallo status di dipendente o di consulente esterno o di ente fornitore di servizi. Il Data Protection Officer, infatti, ha sempre un doppio ruolo e i due canali sono comunicanti: con la conseguenza che le mancanze e le negligenze in un campo hanno rilevanza anche nell’altro.

Il mistero dell’articolo 167 codice della privacy sul trattamento di dati senza consenso: è ancora reato? Ciò che sembrava estinto ha mostrato la sua vitalità in una sentenza depositata nel 2020. Ma non pare proprio che ciò basti a dimostrare la reviviscenza di una sanzione penale, assorbita dal sistema sanzionatorio amministrativo del Gdpr. In ogni caso, l’interprete si muova con molta cautela e consapevolezza del diritto transitorio (articolo 24 del d.lgs. 101/2018). Ma spieghiamoci meglio, partendo dalla vicenda concreta al centro della sentenza evocata.

Le applicazioni in prima linea contro il contagio, infatti, sono volontarie, ma fino a un certo punto. Bisogna, infatti, fare i conti con gli obblighi che derivano dall’ordinamento complessivo. Ci si chieda: se uno ha notizie utili a evitare guai alla salute di altre persone e se volontariamente non le mette a disposizione, non è forse responsabile delle conseguenze evitabili con la sua collaborazione? Non ci sono vincoli di solidarietà sociale che implicano e diventano obblighi giuridici? Questo è un esempio delle numerose insidie da affrontare ogni volta che si affronta il tema del bilanciamento tra opposti interessi.

Il trattamento di nomi e recapiti, finalizzato al primo contatto delle persone per scopi caritatevoli e di proselitismo religioso, trova base giuridica nell’interesse legittimo dell’associazione di tendenza, la quale, tuttavia, a tutti gli effetti, è un titolare del trattamento. Con tutto quel che ne consegue, quanto agli adempimenti previsti dal Gdpr. Aiutare i bisognosi, soprattutto in un periodo di emergenza, è un legittimo interesse, ma non uno stratagemma per affievolire il rispetto della disciplina sulla protezione dei dati. Inoltre, il proselitismo abusivo o improprio non trova certo una sponda nel Gdpr.

Sospendere la privacy? No grazie. Non ce n’è alcun bisogno. La privacy sa fare un passo di lato da sola, senza necessità di pericolosi e subdoli ostracismi. Tanto pericolosi, quanto pretestuosi, visto che non c’è stato, non c’è e non ci sarà nessun intralcio della privacy alla lotta per il mantenimento dei beni primari. Questo semplicemente perché non è possibile giuridicamente nessun intralcio.

Dal Garante Europeo della protezione dei dati (Edps, European data protection supervisor) arrivano utili strumenti per l’attività del responsabile della protezione dei dati e del consulente della privacy. La relazione annuale per il 2019 dell’Edps mette in fila, a consuntivo, una serie di strumenti che vanno al di là degli stretti compiti istituzionali del Supervisor europeo (garantire che le istituzioni e gli organi dell'UE rispettino il diritto protezione dei dati) e sfociano in veri e propri tool per chi deve applicare la protezione dei dati in azienda e negli enti pubblici.

Le richieste di accesso ai dati possono essere messe in lista d’attesa. È uno degli effetti della situazione emergenziale dovuta al contagio Covid-19. Anche se per arrivare a questo risultato interpretativo la strada è, come al solito, tortuosa. Si prenda il caso, purtroppo, comune di una organizzazione in cui i dipendenti sono in cassa integrazione per un lungo periodo o istituti simili. Per quanto la tecnologia di appoggio allo smart working dovrebbe sopperire, non è detto che gli archivi siano facilmente ed integralmente raggiungibili.

Controlli anti Covid-19 ai cancelli aziendali: possibile rilevare la temperatura corporea e raccogliere un'autodichiarazione su situazioni a rischio. Ma con garanzie per la privacy dei lavoratori: informativa preventiva e niente registrazione o conservazione dei dati, salvo che di quelli strettamente necessari a giustificare il divieto di ingresso in caso di cause ostative. È quanto prevede il protocollo 14 marzo 2020, siglato da sindacati e imprese in accordo con il Governo.

La geolocalizzazione, quale misura di prevenzione del contagio da Covid-19, è possibile, ma solo a tre condizioni: deve avere una base giuridica normativa; deve rispettare i principi di proporzionalità; deve essere garantito il diritto di difesa in via giudiziale. Questa la sintesi della dichiarazione ufficiale del Comitato Europeo per la protezione dei dati (Edpb), che è intervenuto il 16 marzo 2020 con una dichiarazione ufficiale del presidente Andrea Jelinek, il quale ha indicato i parametri generali per bilancio l’interesse alla salute pubblica e il diritto alla protezione dei dati personali.

Dirigenti e amministratori pubblici alla cassa per pagare il conto delle sanzioni privacy irrogate all’ente di appartenenza. Se, a causa della loro negligenza, il Garante ha comminato una sanzione pecuniaria alla P.A., scatta la responsabilità erariale e, quindi, la condanna del responsabile da parte della Corte dei Conti a rimborsare l’ente pubblico.