A quattro anni dalla entrata in vigore del Regolamento UE 2016/679 (GDPR), un grande percorso è stato fatto con l’impegno di tutti gli attori dell’ecosistema privacy. I legislatori nazionali sono intervenuti con norme collaterali e/o applicative al GDPR, da ultimo in Italia con le innovazioni del Decreto “Capienze” ( D.L. 139 / 2021 convertito nella L. 205 /2021) per gli aspetti attinenti alla privacy nel comparto della pubblica amministrazione. e altre potranno e saranno emanate in linea con il carattere in progress della privacy anche in relazione all’innovazione tecnologica e delle forme di business.
Tra le potenziali emergenze, è la minaccia del ransomware la più temuta dai DPO (70,4%) e il 55% di essi avverte la necessità di formarsi nel campo della cybersecurity. Ad evidenziarlo è un sondaggio condotto su oltre mille addetti ai lavori. Il 57% degli intervistati include nelle situazioni di criticità anche i trattamenti illeciti di dati personali e sono più preoccupati da una possibile ispezione del Garante della Privacy (53%) che da un’eventuale nuova pandemia (17,2%). Nel 70,8% dei casi preoccupano la sottovalutazione dei rischi sui dati, e poi l’incompetenza degli addetti che trattano dati (64%), mentre il 58% degli intervistati ammette che il pericolo potrebbe essere la non sufficiente preparazione dello stesso DPO, e il 77% di essi teme di finire sotto processo da parte del management per una criticità gestita male.
Dallo scorso maggio il GDPR ha introdotto la figura del DPO per dare più tutele agli interessati, ma a distanza di sette mesi il quadro è decisamente confuso. Il 2018 è stato infatti l'anno del GDPR, ed è stato anche l'anno che ha visto l'esordio ufficiale del Data Protection Officer nel nostro ordinamento e in quelli degli altri Paesi membri dell'UE che ancora non lo prevedevano.
La notizia dell’azione coordinata dell’EDPB riguardante il ruolo dei Data Protection Officer può aver mosso qualche titolare, sia in ambito pubblico che privato, a domandarsi in che modo possa controllare il proprio DPO senza incorrere nel rischio di interferire con le garanzie di indipendenza funzionale proprie della figura. Non è mai facile andare a svolgere delle verifiche nei confronti chi è preposto ad una posizione di controllo. Tant’è che già in tempi antichi il Quis custodiet ipsos custodes? era un trend topic.
L’ampia analisi condotta da Federprivacy sui rapporti tra i siti web e la tutela dei diritti privacy nel mondo digitale merita di essere considerata con la massima attenzione. Essa è tutta incentrata sulle misure adottate da un corposo e molto articolato insieme di siti web in ordine al dovere dei titolari di trattamenti di dati personali di assicurare agli interessati una adeguata informativa privacy, completa di tutti i riferimenti normativi. Una informativa che, sia nel quadro del GDPR che degli altri documenti e Regolamenti della UE, deve essere facilmente accessibile e comprensibile da tutti i destinatari, e cioè almeno da parte di tutti gli interessati.
Il Data Protection Officer, o Responsabile della Protezione dei dati (RPD) svolge un ruolo fondamentale nell’iter della valutazione di impatto sulla protezione dei dati (DPIA). L’articolo 35, paragrafo 2, RGPD prevede in modo specifico che il titolare “si consulta” con il RPD, quando svolge una DPIA. Inoltre l’articolo 39, paragrafo 1, lettera c) affida al RPD il compito di “fornire, se richiesto, un parere in merito alla valutazione di impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35”.
Il Dlgs 24/2023 sul whistleblowing mette a disposizione del whistleblower oltre al canale interno di segnalazione – gestito dalla organizzazione presso cui è localizzato l’illecito - anche la possibilità di ricorrere al canale esterno di segnalazione. Per i Data Protection Officer si pone il compito di supervisionare e fornire consulenza per una corretta impostazione di canali e procedure.
Per leggere questo articolo devi essere registrato ed effettuare il login!
