GDPR, tra DPO e aziende (ancora) troppi problemi: ecco i punti critici

tratto da Agenda Digitale

I principi della privacy introdotti (o rafforzati) dal GDPR stentano ancora ad affermarsi nell’applicazione concreta, nonostante siamo entrati nel secondo anno di vita della nuova normativa.

Le difficoltà più evidenti sono quelle incontrate dalla figura del Responsabile per la protezione dei dati (DPO), che pur essendo già presente in numerose organizzazioni, stenta ancora ad assumere la fisionomia delineata dal Regolamento Ue e dal Garante privacy, per diversi motivi che andremo di seguito ad approfondire.

Le brevi considerazioni che seguono, pertanto, senza pretesa di essere esaustive e al solo fine di stimolare la discussione su alcuni aspetti operativi, si propongono dare spazio alla prospettiva “rovesciata” dei titolari e dei responsabili del trattamento, nonché di quella dei Responsabili della Protezione dei Dati.

Del resto, per chi si occupa di data protection è ora, a maggio – e non a gennaio con l’inizio dell’anno o a settembre con l’inizio della scuola- il momento dei bilanci, il periodo di riflessioni e, perché no, di buoni propositi.

A maggio del 2016 veniva pubblicato ed entrava in vigore il GDPR e sempre a maggio, il 25 maggio del 2018, a distanza di due anni, si dava avvio alla sua attuazione.

E pochi giorni fa, era il 7 maggio, l’Autorità Garante per la protezione dei dati personali, composta da Antonello Soro, Augusta Iannini, Giovanna Bianchi Clerici e Licia Califano, ha presentato la Relazione sull’attività svolta nel 2018 facendo il punto sullo stato di attuazione del GDPR in Italia e delineando alcuni temi privacy che si porranno nei prossimi anni.

Nei due giorni successivi abbiamo poi assistito alla pubblicazione in gazzetta dei due nuovi regolamenti interni del Garante che hanno rispettivamente completato la disciplina delle procedure di tutela innanzi al Garante, delle regole deontologiche e dei codici di condotta(Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali) e hanno individuato la durata dei procedimenti presso il Garante e le unità organizzative competenti ad effettuare la relativa istruttoria (Regolamento n. 2/2019, concernente l’individuazione dei termini e delle unità organizzative responsabili dei procedimenti amministrativi presso il Garante per la protezione dei dati personali).

Ancora, il 18 maggio scorso, è stato portato a termine attraverso un Protocollo emendativo il processo di modernizzazione della Convenzione 108 del 1981 sulla protezione degli individui rispetto al trattamento automatizzato dei dati personali.

E domenica scorsa, il 19 maggio, è scaduto il periodo di tolleranza previsto dall’art. 22 del D.lgs. 10 agosto 2018, n. 101 e da ora in poi il Garante potrà applicare senza alleggerimenti le sanzioni previste dal GDPR.

Infine, il 20 maggio, la presidenza rumena del Consiglio dell’Unione europea ha pubblicato una relazione sullo stato di avanzamento della proposta di regolamento relativo alla vita privata e alle comunicazioni elettroniche (proposta di Regolamento e-privacy) al fine di sostituire l’attuale Direttiva 2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio 2002 (Direttiva e-privacy).

Insomma, sia sul piano europeo sia su quello nazionale è questo il momento in cui si tirano le somme sullo stato di attuazione del GDPR e, in generale sulle recenti evoluzioni nel mondo della Privacy.

leggi l’articolo completo