Si intitola “Il Data Protection Officer tra regole e prassi”, il nuovo libro, curato da Rocco Panetta, Tommaso Mauro, e Federico Sartore con la prefazione di Guido Scorza, che affronta in maniera analitica l'analisi dell'impianto normativo dedicato alla regolamentazione del data protection officer.
Lo stato dell’arte è un parametro già noto all’interno della normativa europea in più ambiti e settori, e poichè esso è un elemento dinamico il DPO deve intervenire fornendo consulenza e informazione al riguardo.
Il Data Protection Officer è una funzione di così recente introduzione che stiamo tutti imparando a comprendere come deve esercitare, nel migliore dei modi, il suo ruolo, in particolare in condizioni complesse. In questo articolo si vuole approfondire un tema specifico, spesso trascurato, che riguarda l’invasività delle indagini che il DPO deve svolgere nel rispetto del principio della minimizzazione dei dati. Egli si può trovare infatti a condurre indagini, in modo sostanzialmente analogo a quanto viene svolto dall’Organismo di Vigilanza nominato ai sensi del D.lgs 231/2001, per approfondire, ad esempio:
Niente compenso al Dpo che non ha svolto attività. Il responsabile della protezione dei dati deve dimostrare le prestazioni effettuate, altrimenti non ha diritto ad essere pagato. Per il professionista non basta assumersi la responsabilità della funzione. È quanto ha stabilito il tribunale civile di Prato con la sentenza n. 665 del 19 agosto 2024.
Per leggere questo articolo devi essere registrato ed effettuare il login!
Anche in materia di sanità pubblica il responsabile della protezione dei dati personali (DPO) è un mero consulente che non deve firmare le informative o assumere ruoli tipici del titolare del trattamento. La responsabilità e gli obblighi privacy gravano infatti su quest'ultimo soggetto ovvero l'azienda sanitaria locale con tutta la sua struttura organizzativa e dirigenziale. Così il Garante per la protezione dei dati personali con l'ordinanza ingiunzione 8/2022.
Da fissare un monte ore congruo per l'attività di Dpo. Non è un ruolo di rappresentanza, ma un soggetto che le scuole devono coinvolgere sistematicamente in ogni evenienza riguardante il trattamento dei dati personali. Non può essere, pertanto, un compito svolto nei ritagli di tempo.
Con l’adozione di quattro provvedimenti sanzionatori nei confronti di enti locali, il Garante Privacy ha concluso la prima fase dell’indagine avviata per verificare il rispetto dell’obbligo di comunicazione all’Autorità dei dati di contatto del Responsabile della protezione dei dati (RPD, o Data protection officer, DPO).
In occasione della definitiva applicazione del Regolamento europeo in materia di protezione dei dati personali (Regolamento UE/2016/679), il 24 maggio, a Bologna (Palazzo dei Congressi - Piazza della Costituzione 4), il Garante privacy incontrerà i Responsabili della Protezione dei Dati (RPD). L'obiettivo è offrire a queste nuove figure - centrali nel processo di attuazione del principio di "responsabilizzazione" (accountability) - le prime indicazioni utili per l'attuazione dei compiti e per la definizione delle modalità di relazione con l'Autorità.
Il Garante italiano ha chiarito che l'attribuzione delle funzioni di responsabile della protezione dei dati al responsabile per la prevenzione della corruzione e per la trasparenza, considerata la molteplicità degli adempimenti che incombono su tale figura, potrebbe rischiare di creare un cumulo di impegni tali da incidere negativamente sull'effettività dello svolgimento dei compiti che il Regolamento europeo 2016/679 attribuisce al responsabile della protezione dei dati.
La tematica dell’age verification è quanto mai attuale e promossa anche dalle autorità di controllo europee, sebbene con degli inviti alla prudenza circa l’adozione di tali sistemi. Difatti, è indubbio che internet sia e debba essere un luogo sicuro anche per i minori.
