Barzelletta sul DPO

Prendendo spunto da alcune organizzazioni pubbliche, che hanno nominato quale D.P.O. il loro responsabile dei servizi informatici, una barzelletta sul D.P.O.

Piacere, sono il sig. Verdi, responsabile dei servizi informatici. Piacere mio, sono sempre il sig. Verdi, Responsabile della Protezione dei Dati.

Il Sig. Verdi (nella sua veste di DPO) chiede allo stesso Sig. Verdi (nella sua veste di Responsabile IT) che cosa mi dice del trattamento dei dati personali di questa organizzazione?

Sig. Verdi, cosa vuole che dica? L'abbiamo progettato, realizzato, testato e certificato noi, quindi TUTTO PERFETTO!

P.S. ovviamente il Sig. Verdi è un nome comunissimo che ho utilizzato nel racconto di fantasia; ogni riferimento a fatti e persone è puramente fortuito e non voluto.

Invece non è fantasia il fatto che il Garante tedesco ha già sazionato, nel passato, una assegnazione simile, in pieno conflitto di interessi.

Comunicazione del DPO-RPD al Garante

Segnalo, a coloro che ne hanno l’obbligo, che il Garante ha predisposto la procedura on-line per segnalare la nomina ed i riferimenti dei DPO incaricati dalle varie organizzazioni.

Consiglio di comunicare, nei dati di contatto del DPO, un indirizzo pec invece della “normale” posta elettronica.

Aggiornamento: la procedura richiede (verificato oggi 19 maggio da un cliente) anche l’indirizzo e-mail classico.

La procedura è composta da due fasi; la prima riguarda l’inserimento dei dati del Titolare del trattamento e del DPO nominato; in seguito, il Titolare riceverà una e-mail con un allegato xml, da firmare digitalmente e restituire al Garante.

Aggiornamento 2: dopo un paio di giorni, il Garante invia la notifica della avvenuta designazione, al D.P.O. tramite posta elettronica.

Alle aziende che mi hanno nominato, ho già inviato tutti i miei dati di contatto da inserire nella procedura telematica.

Istituti di Vigilanza e GDPR

Avevo già accennato, in un articolo recente, che anche gli istituti di vigilanza dovranno nominare il Data Protection Officer.

Ulteriore conferma proviene da un recente workshop organizzato dalle maggiori associazioni di operatori di sicurezza e vigilanza a Roma.

Nel convegno, al quale ha partecipato anche il Garante Italiano, si è evidenziata la grande quantità di dati personali “particolari” trattati dalle aziende di vigilanza privata e si è ribadito l’obbligo di nominare il D.P.O. e di definire il percorso di adeguamento al GDPR.

Vorrei inoltre precisare che anche le aziende di installazione di impianti di sicurezza, qualora abbiano sistemi informatici di controllo e gestione remoti dei sistemi di allarme o videoregistrazione di terzi, sono soggetti alle stesse norme delle agenzie di vigilanza.

Svizzera e GDPR

Quando mancano esattamente 30 giorni all’applicazione del GDPR, la tensione stà aumentando.

Mi scrive un caro amico che lavora in Svizzera: “meno male che qui il GDPR non ha effetto”.

Caro amico, ma ne sei sicuro?

GDPR Art.3
 2. Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:
 a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato;
 b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.

Quindi quando un cittadino europeo è un cliente di una organizzazione svizzera, il GDPR ha applicazione; penso alle banche, ma anche ai semplici negozi che vendono agli europei, per non parlare degli e-commerce.

Poi c’è il settore turistico; un hotel che ha un sito che profila gli interessi e le preferenze di un europeo, anche se non è stato mai cliente, è soggetto? Certamente si.

E per quanto riguarda i dipendenti “frontalieri” di una società svizzera? Siamo assolutamente certi che il GDPR non abbia effetto?

Oltretutto, alcune organizzazioni dovranno nominare un DPO (esempio le banche, ma anche chi lavora nell’ambito sanitario e alla cura della persona, dettagli qui).

Comunque, in Svizzera stanno lavorando alla revisione della loro legge sulla protezione dei dati (LPD); a breve è attesa la attuazione.

In passato ho frequentato la Svizzera per motivi di studio, lavoro e turismo, e ne ho un bellissimo ricordo; quasi quasi verrei a farvi consulenza.