DPO ed Autorità Giudiziarie

Appare opportuno segnalare un dato che è passato piuttosto in sordina, anche tra gli addetti ai lavori.

Art. 2-sexiesdecies (Responsabile della protezione dei dati per i trattamenti effettuati dalle autorità giudiziarie nell'esercizio delle loro funzioni)
1. Il responsabile della protezione dati e' designato, a norma delle disposizioni di cui alla sezione 4 del capo IV del Regolamento, anche in relazione ai trattamenti di dati personali effettuati dalle autorità giudiziarie nell'esercizio delle loro funzioni.

Quindi, come si può leggere dal nuovo Codice novellato dal D.Lgs. 101, anche le autorità giudiziarie italiane debbono nominare un DPO-RPD.

Il Legislatore italiano conferma la estrema importanza della figura del Responsabile della Protezione dei Dati, specialmente negli ambiti dove si trattano dati personali che hanno molta rilevanza sulla dignità e quindi sulla vita delle persone.

GDPR – amministratori di sistema 2a parte

Debbo ritornare ancora sulla tematica GDPR ed amministratori di sistema; purtroppo il caos regna sovrano.

Ricevo (spesso) più o meno questa domanda: è obbligo per il D.P.O. designare individualmente i singoli amministratori di sistema?

Intanto, la domanda è fondata su di un errore; il D.P.O. non designa nessuno! A questa pagina i suoi compiti. Rimane quindi esclusivamente a carico del Titolare del Trattamento l’adempimento del relativo provvedimento, che richiede, al punto b.

b. Designazioni individuali
La designazione quale amministratore di sistema deve essere individuale e recare l´elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.

Altra domanda ricorrente: possiamo nominare una società esterna quale amministratore di sistema?

No, in quanto il provvedimento si riferisce chiaramente a persone fisiche (valutazione delle caratteristiche soggettive, designazioni individuali, ecc.).

Come si valuta l’esperienza, la capacità e l’affidabilità del soggetto?

Il titolare, prima di attribuire il ruolo di “amministratore di sistema” ad un soggetto, deve valutarne l’esperienza, la capacità e l’affidabilità; il relativo processo di valutazione, nella forma scritta, deve essere documentato e mantenuto agli atti. La base di partenza è senz’altro il curriculum vitae, e le maggiori certificazioni tecniche (Microsoft, Red Hat, Oracle, Cisco, VmWare) sono senza dubbio un plus; ovviamente la sola certificazione priva di esperienza ha poco valore.

Allo stato attuale, non esistono corsi abilitanti alla professione di amministratore di sistema; non fatevi abbindolare.

Barzelletta sul DPO

Prendendo spunto da alcune organizzazioni pubbliche, che hanno nominato quale D.P.O. il loro responsabile dei servizi informatici, una barzelletta sul D.P.O.

Piacere, sono il sig. Verdi, responsabile dei servizi informatici. Piacere mio, sono sempre il sig. Verdi, Responsabile della Protezione dei Dati.

Il Sig. Verdi (nella sua veste di DPO) chiede allo stesso Sig. Verdi (nella sua veste di Responsabile IT) che cosa mi dice del trattamento dei dati personali di questa organizzazione?

Sig. Verdi, cosa vuole che dica? L'abbiamo progettato, realizzato, testato e certificato noi, quindi TUTTO PERFETTO!

P.S. ovviamente il Sig. Verdi è un nome comunissimo che ho utilizzato nel racconto di fantasia; ogni riferimento a fatti e persone è puramente fortuito e non voluto.

Invece non è fantasia il fatto che il Garante tedesco ha già sazionato, nel passato, una assegnazione simile, in pieno conflitto di interessi.

DPO e ordini professionali

La vicepresidente della autorità Garante, Dr.ssa Augusta Iannini, intervenendo ad un forum, ha precisato che anche gli Ordini Professionali dovranno nominare il proprio DPO.

Non è stato ancora precisato nel caso di associazioni ed albi professionali; riterrei che l’obbligo di nomina si estenda, per similitudine, anche a quest’ultimi.

Aggiornamento di dicembre 2018: molti albi ed ordini professionali, ma anche associazioni come alla legge 4/2013, hanno nominato il proprio D.P.O.

Comunicazione del DPO-RPD al Garante

Segnalo, a coloro che ne hanno l’obbligo, che il Garante ha predisposto la procedura on-line per segnalare la nomina ed i riferimenti dei DPO incaricati dalle varie organizzazioni.

Consiglio di comunicare, nei dati di contatto del DPO, un indirizzo pec invece della “normale” posta elettronica.

Aggiornamento: la procedura richiede (verificato oggi 19 maggio da un cliente) anche l’indirizzo e-mail classico.

La procedura è composta da due fasi; la prima riguarda l’inserimento dei dati del Titolare del trattamento e del DPO nominato; in seguito, il Titolare riceverà una e-mail con un allegato xml, da firmare digitalmente e restituire al Garante.

Aggiornamento 2: dopo un paio di giorni, il Garante invia la notifica della avvenuta designazione, al D.P.O. tramite posta elettronica.

Alle aziende che mi hanno nominato, ho già inviato tutti i miei dati di contatto da inserire nella procedura telematica.

Toscana, necessari almeno 500 ruoli DPO

Secondo una ricerca effettuata da toscana24 del quotidiano economico Sole24Ore, necessiterebbero almeno 500 posizioni di DPO nelle aziende pubbliche e loro partecipate della Regione Toscana.

Nel frattempo, la confusione regna sovrana.

Update: infine i DPO sono saltati fuori; nelle scuole i professori, negli ospedali i  medici, negli enti pubblici i responsabili dei servizi I.T. oppure i dirigenti, mentre in alcune aziende i titolari stessi.