L’applicazione della data protection nell’ambito delle attività svolte per i servizi di intrattenimento a tema sessuale destinati ad un pubblico adulto è un argomento particolarmente importante e richiama in modo emblematico l’attuazione di quel bilanciamento dei diritti in gioco fra la libera circolazione dei dati e protezione delle persone fisiche, che sono oggetto e finalità del GDPR stesso. 

ChatGPT è nuovamente sotto la lente di un’autorità di controllo, stavolta quella austriaca, in seguito al reclamo presentato da parte di noyb, l’associazione di attivisti digitali fondata da Max Schrems. Si potrebbe dire però che sono presenti sì nuove accuse che però richiamano vecchi problemi, già rilevati più di un anno fa dal Garante Privacy e attenzionati anche da parte dell’EDPB.

Il coinvolgimento del personale autorizzato all’accesso ai dati personali e allo svolgimento delle operazioni di trattamento è un fattore critico di successo per le strategie di compliance GDPR. Uno dei principali attori in veste di facilitatore è certamente il Data Protection Officer. 

Proprio nel giorno del Data Privacy Day, ovverosia la giornata europea della protezione dei dati personali, telegiornali e testate online hanno pubblicato un video delle telecamere di sicurezza in cui una donna abbandona un neonato al pronto soccorso di Aprilia. Quanto accaduto fornisce una rappresentazione plastica dello stato di salute della privacy nel nostro Paese.

Il fil rouge del Cyber & Privacy Forum di Verona è stato la sinergie fra le funzioni di garanzia di data protection, quali sono i professionisti della privacy e emblematicamente i DPO, e della sicurezza informatica, quali i sysadmin e il CISO.

Come deve agire il DPO nelle strategie di sicurezza, tenendo conto delle ulteriori funzioni che inevitabilmente sono coinvolte nella stessa? Di certo non può chiedersi che agisca come one-man band ed estenda (o spesso, improvvisi) il proprio campo d’azione a tematiche così complesse come la sicurezza delle informazioni ed attendersi che tale azione possa essere efficace.

Il fatto che senza cybersecurity non può esserci né privacy né conformità al GDPR è indubbio, così come lo è l’esigenza di creare gruppi di lavoro e di progetto comuni. Perché vi sia reciproca contaminazione, e uniformità nel metodo dato che le sorti di gestione degli adempimenti privacy e della sicurezza informatica (o più in generale: delle informazioni) sono strettamente legate.

Il Garante per la protezione dei dati personali, con il provvedimento n. 363 del 31 agosto 2023 si è pronunciato su un caso di incompatibilità della funzione IT con il ruolo di DPO particolarmente utile che conferma e dà evidenza sia di un metodo di valutazione quanto dei criteri da seguire.

Con il provvedimento n. 318 del 18 luglio 2023, il Garante ha ribadito che la risposta all’esercizio del diritto di accesso da parte dell’interessato deve essere tempestiva, completa e specifica, escludendo che possa ritenersi sufficiente fare ricorso a formule generiche.

Con il provvedimento n. 311 del 18 luglio 2023, l’Autorità Garante per la protezione dei dati personali è intervenuta per precisare i margini di efficacia dei processi di anonimizzazione, soprattutto nel contesto delle pubblicazioni online di determinate informazioni.