L’art. 38 del GDPR prescrive che il titolare del trattamento deve sostenere il Responsabile della Protezione dei Dati nell’esecuzione dei propri compiti che gli sono attribuiti dall’art. 39 dello stesso Regolamento UE, ma allo stato attuale il 68% dei professionisti che ricoprono il ruolo di Data Protection Officer ritengono che tra i fattori che più li penalizzano nell’assolvimento dei loro compiti vi sia proprio la mancanza di sostegno da parte del management aziendale.
Tra le potenziali emergenze che potrebbero insorgere nelle aziende, è il ransomware la minaccia più temuta dai DPO (71%). Il 78% degli oltre mille professionisti intervistati in un sondaggio di Federprivacy ritiene molto probabile che prima o poi dovrà affrontare un caso critico o una situazione d’emergenza, mentre il 54% di essi vede una possibile ispezione del Garante della Privacy alla stregua di un’emergenza. Il 79% dei Data Protection Officer teme di finire sotto processo da parte del management a seguito di una criticità gestita male. Bernardi:”Anche danni da cambiamenti climatici e intelligenza artificiale sono fenomeni destinatati ad aumentare che devono essere monitorati attentamente dai DPO e che le imprese devono organizzarsi per evitare potenziali disastri”.
Sono 45mila gli esperti di privacy richiesti dal mercato con l'introduzione del GDPR e con l'obbligo del DPO per tutte le p.a. ed altre migliaia di aziende. Programmate ulteriori sei edizioni del Master Privacy Officer e la ripetizione del corso di formazione manageriale al CNR di Pisa. Bernardi: "Anche se richieste sono molte, nostro obiettivo è quello di mantenere alta la qualità dei corsi". Varie possibilità di dimostrare le professionalità tra attestati di competenza, certificazioni di terza parte, e attestato di qualità ai sensi della Legge 4/2013
Il contrasto dell'abbandono dei rifiuti può essere realizzato dalla polizia locale anche con sistemi di videocontrollo ma occorre prestare attenzione alla protezione dei dati ed ai cartelli. E quando si tratta di ricercare solo illeciti amministrativi il perimetro normativo si restringe unitamente ai tempi di conservazione dei filmati. Lo ha chiarito il Garante per la protezione dei dati personali con l'ordinanza n. 214 del 9 giugno 2022.
Dal Consiglio nazionale dei commercialisti (CNDCEC) arriva un elenco composto dai professionisti iscritti all’Ordine che sono interessati a svolgere l'attività di Data Protection Officer (Responsabile della Protezione dei Dati) presso i consigli territoriali di categoria.
L’Assessorato alla Salute della Regione Sicilia, attento alle problematiche della Protezione dei dati ed in particolare del dato sanitario, ha istituito con D.A. n° 834 del 08/05/2019 il Coordinamento dei Data Protection Officer del Servizio Sanitario Regionale (SSR). Tra lo scetticismo delle Aziende Sanitarie e la consapevolezza dell’importanza che avrebbe potuto acquisire un organismo di nuova generazione, strumento di percorsi condivisi orientati a correggere la rotta per l’approdo alla conformità, il Coordinamento festeggia il suo primo anno di vita diviso tra bilanci ed obiettivi.
Il recente provvedimento sanzionatorio emesso dal Garante per la Protezione dei Dati personali (provv. n. 90 dell'11 marzo 2021) consente di trarre dalla realtà concreta che quotidianamente deve affrontare chi si occupa di data protection spunti per riflettere su competenze, requisiti e qualità che un Data Protection Officer deve possedere, argomento che operativamente si riflette nelle selezioni dei DPO.
La situazione emergenziale è uno stato, innescato da un “agente di minaccia”, in cui può trovarsi un’organizzazione; tale condizione può essere simmetrica, ovvero colpisce tutta una serie di soggetti che appartengono ad uno specifico cluster (area geografica, settore merceologico, ecc.) oppure asimmetrica (colpisce una sola organizzazione). Un incendio o un data breach sono condizioni emergenziali asimmetriche; la pandemia Covid-19 o un evento naturale che colpisce una regione è una condizione emergenziale simmetrica.
Se mai ci può essere una sfida (diversa ed ulteriore) alla postura che un Data Protection Officer è chiamato ad assumere, quella di “restare sul pezzo” in un mondo travolto dalle nuove tecnologie e dalle loro ricadute non solo tecniche, ma anche sociali ed individuali, costituisce -senza dubbio- la “madre di tutte le prove”.
In data 22 giugno 2022 la Corte di Giustizia UE si è pronunciata nella causa C-534/20 sul rinvio pregiudiziale proposto dal Tribunale del Lavoro federale tedesco nella causa tra un Data Protection Officer e il suo datore di lavoro. La causa davanti al Tribunale del lavoro era sorta in conseguenza del fatto che in data 13 luglio 2018 la Società Leistritz aveva comunicato, con lettera al dipendente (LH) la cessazione a partire dal 18 agosto 2018 del rapporto di lavoro esistente con LH in qualità di DPO interno della Società stessa a seguito di una ristrutturazione interna in base alla quale “l’attività di consulente legale interno e il servizio di protezione dei dati doveva essere esternalizzato”.
