Il recente provvedimento sanzionatorio emesso dal Garante per la Protezione dei Dati personali (provv. n. 90 dell'11 marzo 2021) consente di trarre dalla realtà concreta che quotidianamente deve affrontare chi si occupa di data protection spunti per riflettere su competenze, requisiti e qualità che un Data Protection Officer deve possedere, argomento che operativamente si riflette nelle selezioni dei DPO.
Per leggere l'articolo integrale devi effettuare il login!
La situazione emergenziale è uno stato, innescato da un “agente di minaccia”, in cui può trovarsi un’organizzazione; tale condizione può essere simmetrica, ovvero colpisce tutta una serie di soggetti che appartengono ad uno specifico cluster (area geografica, settore merceologico, ecc.) oppure asimmetrica (colpisce una sola organizzazione). Un incendio o un data breach sono condizioni emergenziali asimmetriche; la pandemia Covid-19 o un evento naturale che colpisce una regione è una condizione emergenziale simmetrica.
Se mai ci può essere una sfida (diversa ed ulteriore) alla postura che un Data Protection Officer è chiamato ad assumere, quella di “restare sul pezzo” in un mondo travolto dalle nuove tecnologie e dalle loro ricadute non solo tecniche, ma anche sociali ed individuali, costituisce -senza dubbio- la “madre di tutte le prove”.
In data 22 giugno 2022 la Corte di Giustizia UE si è pronunciata nella causa C-534/20 sul rinvio pregiudiziale proposto dal Tribunale del Lavoro federale tedesco nella causa tra un Data Protection Officer e il suo datore di lavoro. La causa davanti al Tribunale del lavoro era sorta in conseguenza del fatto che in data 13 luglio 2018 la Società Leistritz aveva comunicato, con lettera al dipendente (LH) la cessazione a partire dal 18 agosto 2018 del rapporto di lavoro esistente con LH in qualità di DPO interno della Società stessa a seguito di una ristrutturazione interna in base alla quale “l’attività di consulente legale interno e il servizio di protezione dei dati doveva essere esternalizzato”.
Si intitola “Il Data Protection Officer tra regole e prassi”, il nuovo libro, curato da Rocco Panetta, Tommaso Mauro, e Federico Sartore con la prefazione di Guido Scorza, che affronta in maniera analitica l'analisi dell'impianto normativo dedicato alla regolamentazione del data protection officer.
Lo stato dell’arte è un parametro già noto all’interno della normativa europea in più ambiti e settori, e poichè esso è un elemento dinamico il DPO deve intervenire fornendo consulenza e informazione al riguardo.
Il Data Protection Officer è una funzione di così recente introduzione che stiamo tutti imparando a comprendere come deve esercitare, nel migliore dei modi, il suo ruolo, in particolare in condizioni complesse. In questo articolo si vuole approfondire un tema specifico, spesso trascurato, che riguarda l’invasività delle indagini che il DPO deve svolgere nel rispetto del principio della minimizzazione dei dati. Egli si può trovare infatti a condurre indagini, in modo sostanzialmente analogo a quanto viene svolto dall’Organismo di Vigilanza nominato ai sensi del D.lgs 231/2001, per approfondire, ad esempio:
Niente compenso al Dpo che non ha svolto attività. Il responsabile della protezione dei dati deve dimostrare le prestazioni effettuate, altrimenti non ha diritto ad essere pagato. Per il professionista non basta assumersi la responsabilità della funzione. È quanto ha stabilito il tribunale civile di Prato con la sentenza n. 665 del 19 agosto 2024.
Per leggere l'articolo integrale devi effettuare il login!
Anche in materia di sanità pubblica il responsabile della protezione dei dati personali (DPO) è un mero consulente che non deve firmare le informative o assumere ruoli tipici del titolare del trattamento. La responsabilità e gli obblighi privacy gravano infatti su quest'ultimo soggetto ovvero l'azienda sanitaria locale con tutta la sua struttura organizzativa e dirigenziale. Così il Garante per la protezione dei dati personali con l'ordinanza ingiunzione 8/2022.
Da fissare un monte ore congruo per l'attività di Dpo. Non è un ruolo di rappresentanza, ma un soggetto che le scuole devono coinvolgere sistematicamente in ogni evenienza riguardante il trattamento dei dati personali. Non può essere, pertanto, un compito svolto nei ritagli di tempo.
Per leggere l'articolo integrale devi effettuare il login!
