Settembre è periodo di riapertura delle scuole, con l’entusiasmo - e la fatica, ammettiamolo pure - dei primi giorni tanto per gli studenti quanto per i genitori o coloro che li accompagnano a percorrere i primi passi di un nuovo anno scolastico. Ma attenzione a compromettere la privacy e la sicurezza dei minori.

Come controllare che sia tutto a posto con il DPO nell’organizzazione? Si deve necessariamente partire dalla procedura di selezione, con tutte le evidenze documentali a comprovare che siano state fatte tutte le dovute valutazioni.

Lo stato dell’arte è un parametro già noto all’interno della normativa europea in più ambiti e settori, e poichè esso è un elemento dinamico il DPO deve intervenire fornendo consulenza e informazione al riguardo.

La formazione viene espressamente richiamata dall’art. 38 par. 2 GDPR come dovere in capo all’organizzazione che procede alla designazione del DPO, il quale deve mantenere quella “conoscenza specialistica” che ne ha consentito la selezione in conformità all’art. 37 par. 5 GDPR e che, di conseguenza, deve avere un carattere permanente.

Il 13 luglio, dopo appena due giorni dal comunicato relativo alla richiesta di chiarimenti da parte del Garante Privacy nei confronti di PornHub, il gestore della piattaforma ha aggiornato la propria Privacy Policy che nella precedente versione aveva la data del 14 aprile 2022. Sebbene nei contenuti formali risponda in parte alle questioni evidenziate attraverso l’istruttoria preliminare, molto sarà dalla documentazione a supporto delle informazioni e precisazioni formulate. Come accountability vuole, dopotutto.

Una storia caratterizzata da particolare sregolatezza e mistero relativa a dei servizi di e-mail marketing ha interessato il Garante per la protezione dei dati personali nel 2021, portando agli esiti del provvedimento sanzionatorio n. 60 del 2 marzo 2023 con cui è stata irrogata una sanzione di 5 mila euro per violazione del principio di liceità, correttezza e trasparenza avendo svolto attività promozionale tramite e-mail senza aver preventivamente raccolto un consenso idoneo.

Una delle citazioni più note e rimbalzate di Mike Tyson, “Everybody has a plan until they get punched in the mouth”, sembra essere perfetta per chiarire quel gap fra l’aver predisposto un ottimo piano ed essere in grado di attuarlo. Così, nel contesto di un data breach, l’adozione di una procedura per la gestione di una situazione naturalmente connotata da crisi ed emergenza qual è una violazione di dati personali rappresenta una condizione necessaria ma non sufficiente per costituire una misura preventiva efficace.

Cosa dicono le nuove linee guida EDPB 9/2022 sul data breach? Esaurita la fase di consultazione pubblica, l’European Data Protection Board ha infatti licenziato la versione 2.0 delle linee guida riguardanti gli obblighi di notifica delle violazioni dei dati personali.

La notizia dell’azione coordinata dell’EDPB riguardante il ruolo dei Data Protection Officer può aver mosso qualche titolare, sia in ambito pubblico che privato, a domandarsi in che modo possa controllare il proprio DPO senza incorrere nel rischio di interferire con le garanzie di indipendenza funzionale proprie della figura. Non è mai facile andare a svolgere delle verifiche nei confronti chi è preposto ad una posizione di controllo. Tant’è che già in tempi antichi il Quis custodiet ipsos custodes? era un trend topic.

Nel ventaglio delle casistiche e l’aneddotica che orbita attorno alla figura del DPO abbondano gli esempi relativi alle modalità di adempimento dell’obbligo di pubblicazione dei dati di contatto. E in questi ambiti si passa da chi pubblica persino il numero di telefono cellulare personale del DPO a chi, ponendosi agli antipodi, predispone una serie di moduli da compilare come unica modalità mediante la quale l’interessato può relazionarsi con la funzione. Entrambi sono eccessi di segno opposto, indiziari di incertezza applicativa. Che nel secondo caso è una pratica che espone al rischio di violazione dell’art. 37.7 GDPR.