DPO nei tribunali, un obbligo disatteso: ecco cosa dice il GDPR - Cyber Security 360

La guida

DPO nei tribunali, un obbligo disatteso: ecco cosa dice il GDPR

Il GDPR obbliga le autorità giudiziarie a nominare un DPO, tuttavia molti tribunali non rispettano tale adempimento: vediamo cosa prevede la normativa e qual è il ruolo di questo esperto nei diversi settori della Giustizia

19 Nov 2020
P
Rosario Palumbo

Giurista d'impresa, Data protection specialist


Tutte le autorità giudiziarie sono obbligate alla nomina di un DPO: tuttavia, i tribunali italiani sembrano avere un rapporto complicato con le norme privacy, molti non rispettano quel corpus normativo fatto di obblighi, responsabilizzazione e – pochi a dire il vero – divieti a tutela di un diritto fondamentale delle persone.

In questo caso non dobbiamo confrontarci con i pareri dell’Autorità di Controllo e complesse interpretazioni del concetto di “larga scala” per verificare se il singolo Tribunale debba o meno nominare un DPO.

Sono infatti due le norme che in maniera esplicita obbligano le autorità giudiziarie a nominare un DPO/RPD ed entrambe sconosciute ai più, ma non al Garante privacy che ne ha suggerito l’adozione.

Peraltro la digitalizzazione dei processi organizzativi è urgente e non più differibile. La movimentazione manuale di faldoni cartacei e la gestione esclusivamente documentale da parte degli operatori della giustizia non è più adeguata neanche con il periodo storico che stiamo vivendo.

E nel micro-cosmo giustizia il DPO potrebbe rappresentare forse quella figura di riferimento per valutare l’adeguatezza dell’attuale modello organizzativo e incoraggiarne il necessario cambiamento soprattutto verso l’interno, con un forte impatto positivo per tutta la comunità.

Vediamo il ruolo del DPO nei vari settori della Giustizia.

Il DPO nei tribunali: il settore civile

Il Codice privacy chiarisce che il responsabile della protezione dati è designato anche in relazione ai trattamenti di dati personali effettuati dalle autorità giudiziarie nell’esercizio delle loro funzioni.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

A ricoprire tale funzione potrà essere un soggetto interno ma indipendente ed in assenza di un conflitto di interesse oppure un soggetto esterno con competenze giuridiche, organizzative ed informatiche nello specifico settore di riferimento.

Una volta nominato ai sensi dell’art. 38 GDPR poi il DPO deve essere tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica.

Non può essere rimosso o penalizzato per l’adempimento dei propri compiti e riferisce direttamente al vertice gerarchico.

A sua volta il DPO nominato dal Tribunale deve informare e fornire consulenza anche ai dipendenti, sorvegliare l’osservanza delle norme privacy, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale.

Deve inoltre fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento, cooperare con l’autorità di controllo e fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Il DPO nei tribunali: il settore penale

Nel settore penale e per le attività di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali similmente è previsto che il DPO sia designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati e si assicura che sia coinvolto adeguatamente e tempestivamente in tutte le questioni riguardanti la protezione dei dati personali.

Per quanto attiene alla sicurezza dei dati si prevede che tenuto conto delle cognizioni tecniche disponibili, dei costi di attuazione, della natura, dell’oggetto, del contesto e delle finalità del trattamento, nonché del grado di rischio per i diritti e le libertà delle persone fisiche, misure tecniche e organizzative che garantiscano un livello di sicurezza adeguato al rischio di violazione dei dati.

Per i trattamenti automatizzati si prevedono precisi obblighi e controlli all’accesso, alle attrezzature, ai supporti di dati, alla conservazione, alla trasmissione, all’introduzione nonché al trasporto. Si dovranno garantire il recupero, l’affidabilità e l’integrità dei dati.

In tale settore, sarà particolarmente interessante la dimensione operativa dell’attività del DPO e l’equilibrio dei propri compiti di sorveglianza con le esigenze ed il peculiare carattere dell’attività investigativa.

È bene precisare che comunque il Garante privacy non è competente in ordine ai trattamenti effettuati dall’autorità giudiziaria nell’esercizio delle funzioni giurisdizionali, nonché di quelle giudiziarie del pubblico ministero.

La giustizia amministrativa e quella contabile

Nel contesto che abbiamo fin qui descritto sorprende la scelta di un unico DPO per tutta la giustizia amministrativa che consta di 20 TAR, il Consiglio di Stato e il CGA i cui dati di contatto però non sono resi pubblici nel sito istituzionale.

Registriamo con favore la tempestività della giustizia contabile. La Corte dei Conti infatti in linea con il termine perentorio fissato dal GDPR, optando per un soggetto interno, ha nominato il proprio DPO pubblicando i dati di contatto.

WHITEPAPER
Come vendere un maggior numero di soluzioni di data protection?
Sicurezza dei dati

@RIPRODUZIONE RISERVATA

Articolo 1 di 4