Con l’adozione di quattro provvedimenti sanzionatori nei confronti di enti locali, il Garante Privacy ha concluso la prima fase dell’indagine avviata per verificare il rispetto dell’obbligo di comunicazione all’Autorità dei dati di contatto del Responsabile della protezione dei dati (RPD, o Data protection officer, DPO).
In occasione della definitiva applicazione del Regolamento europeo in materia di protezione dei dati personali (Regolamento UE/2016/679), il 24 maggio, a Bologna (Palazzo dei Congressi - Piazza della Costituzione 4), il Garante privacy incontrerà i Responsabili della Protezione dei Dati (RPD). L'obiettivo è offrire a queste nuove figure - centrali nel processo di attuazione del principio di "responsabilizzazione" (accountability) - le prime indicazioni utili per l'attuazione dei compiti e per la definizione delle modalità di relazione con l'Autorità.
Il Garante italiano ha chiarito che l'attribuzione delle funzioni di responsabile della protezione dei dati al responsabile per la prevenzione della corruzione e per la trasparenza, considerata la molteplicità degli adempimenti che incombono su tale figura, potrebbe rischiare di creare un cumulo di impegni tali da incidere negativamente sull'effettività dello svolgimento dei compiti che il Regolamento europeo 2016/679 attribuisce al responsabile della protezione dei dati.
La tematica dell’age verification è quanto mai attuale e promossa anche dalle autorità di controllo europee, sebbene con degli inviti alla prudenza circa l’adozione di tali sistemi. Difatti, è indubbio che internet sia e debba essere un luogo sicuro anche per i minori.
Nell’ambito delle attività necessarie al fine di garantire la conformità con la normativa, è necessario che il Titolare predisponga anche una “procedura ispezioni” o “di collaborazione con l’autorità”, che definisca i soggetti da coinvolgere ed i comportamenti da tenere in caso di ispezioni dell’autorità di controllo.
La gestione delle risorse umane rientra indubbiamente tra le funzioni di un’impresa a maggiore impatto sotto il profilo della tutela dei dati personali. In questo contesto, il DPO assume un ruolo cruciale, chiamato a verificare la conformità al GDPR e alle normative vigenti di ogni trattamento dei dati personali effettuato, mantenendo impregiudicata la tutela dei diritti dei lavoratori.
Tra le attività che richiedono il necessario coinvolgimento del Data Protection Officer nel contesto lavorativo rientrano senza dubbio quelle derivanti dall’applicazione dell’istituto giuridico del whistleblowing, in ragione dell’evidente impatto del medesimo in ambito privacy. Tale istituto assume sempre maggior rilievo all’interno dell’ordinamento, anche alla luce degli attesi sviluppi normativi. Come noto, infatti, entro il 31 dicembre 2021 gli Stati Membri dovranno recepire la Direttiva UE 2019/1937 riguardante la protezione delle persone che segnalano violazioni, sia in ambito pubblico sia nel settore privato.
Nel caso di una situazione emergenziale come quella del Covid-19 il ruolo del Dpo è messo a dura prova, in quanto anche se non chiamato dalla direzione aziendale deve essere comunque presente e vigile, fornendo il suo contributo anche di fronte alla valutazione di situazioni del tutto nuove come quelle relative alla rilevazione di parametri (e non solo quelli della temperatura corporea), ma anche considerando gli aspetti relativi allo smart working ed alle implicazioni connesse. Anche in questo caso, è fondamentale la capacità del Data Protection Officer di documentare le misure poste in atto e le indicazioni fornite a tutela di tutti i soggetti coinvolti.
Già presidio di garanzia per la protezione degli interessati vulnerabili, il Data Protection Officer assume un ruolo ancora più rilevante nella realizzazione di tutele effettive e concrete richieste nel momento in cui sono svolte attività di trattamento che coinvolgono dati personali dei minori. Occorre però compiere preliminarmente alcune considerazioni fondamentali a seconda degli ambiti di operatività delle organizzazioni.
Il coinvolgimento del personale autorizzato all’accesso ai dati personali e allo svolgimento delle operazioni di trattamento è un fattore critico di successo per le strategie di compliance GDPR. Uno dei principali attori in veste di facilitatore è certamente il Data Protection Officer.
