L’affermazione armonizzata del GDPR nei vari Paesi dello Spazio Economico Europeo (SEE) è un percorso "in progress". La sezione VII del GDPR “Cooperazione e coerenza” prevede meccanismi di interazione fra le varie Autorità privacy nazionali”, con il coinvolgimento se del caso della Commissione europea; un ruolo importante è assegnato al Comitato europeo per la protezione dei dati (EDPB), di cui si rammenta la "Letter to EU Commission on procedural aspects" inviata alla Commissione il 7 ottobre dello scorso anno per proporre una “wishlist” finalizzata all’armonizzazione di procedure e pratiche delle Autorità garanti nazionali.
Rischio sanzione per chi non ha nominato il Dpo (responsabile della protezione dei dati) entro il 25 maggio 2018: data in cui è diventato efficace il regolamento Ue sulla protezione dei dati 2016/679 (Gdpr). Come è capitato a un comune cui il Garante della privacy ha irrogato una sanzione amministrativa con il provvedimento 272/2020, di cui dà notizia la Relazione annuale del Garante presentata il 2 luglio 2021.
Risparmiare sul responsabile della protezione dei dati (DPO) incaricando un soggetto in evidente conflitto di interessi rischia di diventare un boomerang per il primo cittadino. In particolare se il comune decide di affidare il compito al dirigente della società partecipata che si occupa della gestione informatica del municipio.
Il Garante per la privacy ha ordinato al Mise il pagamento di una sanzione di 75mila euro per non avere nominato il Responsabile della protezione dati (Rpd) entro il 28 maggio 2018, data di piena applicazione del Gdpr, e avere diffuso sul sito web istituzionale informazioni personali di oltre 5mila manager.
La rotazione degli incarichi nella P.A. non preoccupa, di certo, i DPO (Responsabili della protezione dei dati) seri e preparati. E neppure gli enti pubblici che vogliono avvalersi di soggetti in grado di assicurare al meglio il servizio di “responsabile della protezione dei dati”. È questa la sintesi di una lettura, oggettiva e consapevole, dei meccanismi del mercato di riferimento della deliberazione dell’Autorità anticorruzione (Anac) n. 421 del 13 maggio 2020, e cioè del parere in merito all’applicazione del principio di rotazione ai contratti aventi ad oggetto il servizio di protezione dei dati personali (DPO).
Durante la sua ultima sessione plenaria, l'European Data Protection Board (EDPB) ha adottato una relazione sui risultati della sua seconda azione coordinata di applicazione, incentrata sulla designazione e la posizione dei Data Protection Officer.
Con il provv. 12 maggio 2022 n. 174, l’Autorità garante per la protezione dei dati personali ha sanzionato per seimila euro un Comune all’esito di un’istruttoria con cui ha accertato l’illiceità di un trattamento di dati personali e, per la prima volta, la mancanza di una valida designazione di un responsabile della protezione dei dati.
O difensore o Dpo (responsabile della protezione dei dati): un'impresa o un'amministrazione, titolari del trattamento, non possono affidare una causa all'avvocato già incaricato della funzione prevista dal Gdpr (regolamento Ue sulla protezione dei dati n. 2016/679) anche a beneficio degli interessati (clienti, utenti, ecc.), potenziali avversari del titolare del trattamento. È quanto ha deciso il Garante della privacy, che, con l'ingiunzione n. 214 del 9 giugno 2022, ha sanzionato un Comune colpevole di avere delegato per la difesa in alcuni giudizi lo stesso professionista legale già individuato come responsabile della protezione dei dati (articolo 37 del Gdpr).
Corso di formazione manageriale per DPO, fino a 100 le candidature al vaglio di Federprivacy, ma saranno solo la metà i partecipanti ammessi al percorso di 124 ore che inizierà a gennaio 2018 con esame finale il 30 marzo. Bernardi: "Per formare adeguatamente i Data Protection Officer secondo previsioni del GDPR serve ben più di un corso concentrato di quattro o cinque giorni". Dal 25 maggio 2018 sanzioni fino a 10 milioni di euro o fino al 2% del fatturato per p.a. e aziende rientranti nell'obbligo che non ottemperano.
Cambiano le regole della privacy con il Regolamento UE 2016/679, e entro il 25 maggio 2018 tutte le pubbliche amministrazioni e tutte le aziende che monitorano gli utenti in modo regolare e sistematico o che trattano dati sensibili su larga scala dovranno essersi dotate di un “responsabile della protezione dei dati”, che ai sensi dell'art.37 del nuovo testo deve essere “designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati”.
