Il fatto che senza cybersecurity non può esserci né privacy né conformità al GDPR è indubbio, così come lo è l’esigenza di creare gruppi di lavoro e di progetto comuni. Perché vi sia reciproca contaminazione, e uniformità nel metodo dato che le sorti di gestione degli adempimenti privacy e della sicurezza informatica (o più in generale: delle informazioni) sono strettamente legate.

Il Garante per la protezione dei dati personali, con il provvedimento n. 363 del 31 agosto 2023 si è pronunciato su un caso di incompatibilità della funzione IT con il ruolo di DPO particolarmente utile che conferma e dà evidenza sia di un metodo di valutazione quanto dei criteri da seguire.

Con il provvedimento n. 318 del 18 luglio 2023, il Garante ha ribadito che la risposta all’esercizio del diritto di accesso da parte dell’interessato deve essere tempestiva, completa e specifica, escludendo che possa ritenersi sufficiente fare ricorso a formule generiche.

Con il provvedimento n. 311 del 18 luglio 2023, l’Autorità Garante per la protezione dei dati personali è intervenuta per precisare i margini di efficacia dei processi di anonimizzazione, soprattutto nel contesto delle pubblicazioni online di determinate informazioni.

Settembre è periodo di riapertura delle scuole, con l’entusiasmo - e la fatica, ammettiamolo pure - dei primi giorni tanto per gli studenti quanto per i genitori o coloro che li accompagnano a percorrere i primi passi di un nuovo anno scolastico. Ma attenzione a compromettere la privacy e la sicurezza dei minori.

Come controllare che sia tutto a posto con il DPO nell’organizzazione? Si deve necessariamente partire dalla procedura di selezione, con tutte le evidenze documentali a comprovare che siano state fatte tutte le dovute valutazioni.

Lo stato dell’arte è un parametro già noto all’interno della normativa europea in più ambiti e settori, e poichè esso è un elemento dinamico il DPO deve intervenire fornendo consulenza e informazione al riguardo.

La formazione viene espressamente richiamata dall’art. 38 par. 2 GDPR come dovere in capo all’organizzazione che procede alla designazione del DPO, il quale deve mantenere quella “conoscenza specialistica” che ne ha consentito la selezione in conformità all’art. 37 par. 5 GDPR e che, di conseguenza, deve avere un carattere permanente.

Il 13 luglio, dopo appena due giorni dal comunicato relativo alla richiesta di chiarimenti da parte del Garante Privacy nei confronti di PornHub, il gestore della piattaforma ha aggiornato la propria Privacy Policy che nella precedente versione aveva la data del 14 aprile 2022. Sebbene nei contenuti formali risponda in parte alle questioni evidenziate attraverso l’istruttoria preliminare, molto sarà dalla documentazione a supporto delle informazioni e precisazioni formulate. Come accountability vuole, dopotutto.

Una storia caratterizzata da particolare sregolatezza e mistero relativa a dei servizi di e-mail marketing ha interessato il Garante per la protezione dei dati personali nel 2021, portando agli esiti del provvedimento sanzionatorio n. 60 del 2 marzo 2023 con cui è stata irrogata una sanzione di 5 mila euro per violazione del principio di liceità, correttezza e trasparenza avendo svolto attività promozionale tramite e-mail senza aver preventivamente raccolto un consenso idoneo.