Avere una visione d’insieme dell’andamento degli ambiti d’interesse dello svolgimento di attività ispettiva dell’Ufficio del Garante Privacy comporta una possibilità di estrarre i comuni denominatori per pianificare di conseguenza le attività di controllo e di riesame delle organizzazioni individuando i criteri utili a rafforzarne l’accountability e la rendicontazione delle decisioni assunte.

All’interno del provv. n. 581 del 26 settembre 2024 in cui l’Autorità Garante per la protezione dei dati personali ha sanzionato una AST, da cui si possono apprendere spunti per garantire la corretta gestione dei certificati medici, è presente anche un obiter dictum dedicato all’importanza di garantire la continuità d’azione alla funzione del DPO.

L’obbligo di dotarsi di un Data Protection Officer (DPO) risale al 2018 e nel Paese dell’arabesco potremmo dire che è passato appena un battito di ciglia, ma gli adempimenti privacy e le relative figure professionali risalgono a ben prima.

La Data Protection Commission irlandese ha sanzionato Meta per 251 milioni di euro in relazione a un data breach avvenuto a settembre 2018, riguardante una violazione di sicurezza segnalata che ha coinvolto circa 29 milioni di account Facebook, di cui 3 milioni riconducibili ad interessati dell’Unione Europea.

Dopo l’invio di referti a un indirizzo email sbagliato un laboratorio di analisi ha avvisato dopo pochi minuti l’erroneo destinatario ricevendo conferma che questi aveva cancellato il messaggio senza aprire lo stesso, facendo dunque presumere che si fosse evitata la violazione di confidenzialità in concreto, ma ciò non è valso ad evitare la sanzione.

Uno degli elementi che caratterizzano maggiormente la Generazione Z è il fatto di essere nati già immersi all’interno dei contesti digitali con una naturale spinta verso l’esplorazione dei confini e delle opportunità che possono derivare dalle nuove tecnologie.

Con un recente provvedimento, il Garante ha confermato il proprio orientamento secondo il quale in assenza di un accordo scritto formalizzato conformemente all’art. 28 GDPR, le attività di trattamento svolte dal soggetto che assume il ruolo di responsabile sono illecite in quanto prive di alcuna valida base giuridica.

Quale rilevanza possono assumere le politiche di sensibilizzazione del personale per comprovare l’accountability del titolare, soprattutto a fronte di una contestazione di una violazione? All’interno del provv. n. 403 del4 luglio 2024 possiamo cogliere lo spunto per affrontare a tale riguardo un vero e proprio caso “di scuola”.

Impossibile non ricordare la questione relativa alla Privacy Policy di PornHub con tanto di richiesta di chiarimenti da parte del Garante. A distanza di alcuni mesi dalla prima modifica della privacy policy c’è stato un nuovo aggiornamento il 23 maggio. Qualche passo avanti la nota piattaforma lo ha effettivamente fatto, ma l’approccio di accountability comporta un percorso di miglioramento continuo.

L’applicazione della data protection nell’ambito delle attività svolte per i servizi di intrattenimento a tema sessuale destinati ad un pubblico adulto è un argomento particolarmente importante e richiama in modo emblematico l’attuazione di quel bilanciamento dei diritti in gioco fra la libera circolazione dei dati e protezione delle persone fisiche, che sono oggetto e finalità del GDPR stesso.