Nell’ambito delle attività necessarie al fine di garantire la conformità con la normativa, è necessario che il Titolare predisponga anche una “procedura ispezioni” o “di collaborazione con l’autorità”, che definisca i soggetti da coinvolgere ed i comportamenti da tenere in caso di ispezioni dell’autorità di controllo.
La gestione delle risorse umane rientra indubbiamente tra le funzioni di un’impresa a maggiore impatto sotto il profilo della tutela dei dati personali. In questo contesto, il DPO assume un ruolo cruciale, chiamato a verificare la conformità al GDPR e alle normative vigenti di ogni trattamento dei dati personali effettuato, mantenendo impregiudicata la tutela dei diritti dei lavoratori.
Tra le attività che richiedono il necessario coinvolgimento del Data Protection Officer nel contesto lavorativo rientrano senza dubbio quelle derivanti dall’applicazione dell’istituto giuridico del whistleblowing, in ragione dell’evidente impatto del medesimo in ambito privacy. Tale istituto assume sempre maggior rilievo all’interno dell’ordinamento, anche alla luce degli attesi sviluppi normativi. Come noto, infatti, entro il 31 dicembre 2021 gli Stati Membri dovranno recepire la Direttiva UE 2019/1937 riguardante la protezione delle persone che segnalano violazioni, sia in ambito pubblico sia nel settore privato.
Nel caso di una situazione emergenziale come quella del Covid-19 il ruolo del Dpo è messo a dura prova, in quanto anche se non chiamato dalla direzione aziendale deve essere comunque presente e vigile, fornendo il suo contributo anche di fronte alla valutazione di situazioni del tutto nuove come quelle relative alla rilevazione di parametri (e non solo quelli della temperatura corporea), ma anche considerando gli aspetti relativi allo smart working ed alle implicazioni connesse. Anche in questo caso, è fondamentale la capacità del Data Protection Officer di documentare le misure poste in atto e le indicazioni fornite a tutela di tutti i soggetti coinvolti.
Già presidio di garanzia per la protezione degli interessati vulnerabili, il Data Protection Officer assume un ruolo ancora più rilevante nella realizzazione di tutele effettive e concrete richieste nel momento in cui sono svolte attività di trattamento che coinvolgono dati personali dei minori. Occorre però compiere preliminarmente alcune considerazioni fondamentali a seconda degli ambiti di operatività delle organizzazioni.
Il coinvolgimento del personale autorizzato all’accesso ai dati personali e allo svolgimento delle operazioni di trattamento è un fattore critico di successo per le strategie di compliance GDPR. Uno dei principali attori in veste di facilitatore è certamente il Data Protection Officer.
Il Regolamento UE 2016/679 (GDPR) da tempo è entrato nella vita di chi vive in Europa (UE e SEE) e, sebbene alcuni facciano ancora difficoltà a comprenderne la portata di diritto di cittadinanza, tutti in genere vi poniamo più attenzione, sia nella veste di interessati, sia nella veste di attori nella gestione della privacy in organizzazioni del settore pubblico e privato. Quello che si intende qui iniziare ad approfondire è il ruolo che possono avere le organizzazioni sindacali con riguardo alla privacy.
Riprendendo i risultati dell'ultima ricerca di Federprivacy, e citando alcune dichiarazioni del presidente Nicola Bernardi, Il Sole 24 Ore dedica un articolo al Data Protection Officer. Di questa figura professionale si sta iniziando a parlare con sempre maggiore insistenza perché, nella sostanza, la richiede il nuovo Regolamento europeo 2016/679 per la protezione e libera circolazione dei dati personali, il cosiddetto Gdpr, che andrà in vigore a partire da maggio del prossimo anno.
Dal 25 maggio, anche in Italia, sarà in vigore il nuovo Regolamento Ue 2016/679 sulla Privacy, il cosiddetto Gdpr (General Data Protection Regulation). Fra le tantissime implicazioni che la normativa per la sicurezza e il trattamento dei dati sensibili si porta dietro, c’è anche quella relativa alla figura professionale incaricata di gestire questa problematica. Il tema, come noto, interessa uno spettro molto ampio di organizzazioni, dalle società che operano in ambito finanziario a quelle delle “utilities” (telecomunicazioni, energia elettrica o gas), dalle imprese di ricerca del personale a quelle attive nel settore della cura della salute e della sanità privata, dai fornitori di servizi informatici ai provider di servizi digitali e televisivi.
Il conflitto di interessi in generale è previsto da diverse normative e regolamenti di settore, con il fine di prevenire abusi e favoritismi che andrebbero a discapito dell’indipendenza e imparzialità di un ruolo o di una funzione. In ambito normativa data protection, il responsabile della protezione dati (RPD o DPO) è il soggetto incaricato di svolgere i compiti previsti dall’art. 39 del Reg. UE n.679/2016, in relazione ai quali, ai sensi del par. 3, dell’art. 38, il titolare del trattamento e il responsabile del trattamento si assicurano che il DPO non riceva alcuna istruzione concernente l’esecuzione degli stessi.
