Il responsabile della protezione dei dati (DSB) è obbligatorio per le aziende che impiegano 20 o più dipendenti in attività tipiche di ufficio. In questo senso, il Bundestag ha discusso recentemente. Perché il responsabile è un responsabile? La risposta a questa domanda è allo stesso tempo la soluzione per l'obbligo arbitrario della nomina del DSB.
Introduzione
Ogni azienda di una certa dimensione ha bisogno di un responsabile della protezione dei dati. In ogni caso, ciò vale a condizione che almeno 20 dipendenti siano regolarmente impegnati nella trattazione digitale (automatizzata) dei dati.
Questo limite di 20 dipendenti è stabilito dall'articolo 38 del BDSG. In precedenza, il limite era di 10 dipendenti.
Al legislatore non può essere fatto un rimprovero per aver stabilito una frontiera che ritiene sensata. Una frontiera fissata dalla legge è sempre di per sé arbitraria. Ciò vale ad esempio anche per l'aliquota d'imposta e i limiti per le aliquote d'imposta, nonché per l'intero sistema fiscale in sé.
Trovarne una è motivo di riflessione, soprattutto quando la
Inizialmente non esisteva nemmeno a livello UE (Regolamento generale sulla protezione dei dati)
dopo di che è stato fissato a 10 dipendenti in Germania
Fu quindi fissato a 20 dipendenti in Germania
d) quindi dovrebbe essere abolito, ma non è stato abolito.
Come sarebbe non avere confini?
Il responsabile della protezione dei dati come opzione anziché obbligo
Il DSB è obbligatorio per molte aziende. È bene per il DSB e spesso anche per la protezione dei dati personali. In ogni caso, non nuoce di solito che esista il DSB. Questo sia detto con una certa differenziazione, perché ci sono casi in cui l'opinione sbagliata del DSB porta a risultati negativi.
Sia che questa probabile interpretazione errata del DSB sia la causa di gravi violazioni della protezione dei dati personali su molte pagine web tedesche, o se è la resistenza alla consulenza degli stessi clienti, non importa. Di solito il consigliere ha ragione, anche quando si chiama commissario e non consigliere.
Se il responsabile per la protezione dei dati non fosse obbligatorio, le aziende lo avrebbero comunque assunto
Spesso si osserva che anche piccole aziende nominano un DSB, nonostante non dovrebbero farlo. Si può inoltre supporre che le grandi aziende ordinino un DSB da sé, anche se non dovrebbero farlo. Come sarebbe se una autorità (che di fatto non applica sanzioni) facesse visita a un gruppo e vedesse che nessuno si occupa specificamente della protezione dei dati?
Cosa fa il DSB in realtà?
Una buona domanda che qui verrà solo accennata.
Il DSB è in primo luogo un consulente. Molti DSB forniscono ai loro clienti all'inizio dell'attività un pacchetto di informazioni con offerte di formazione, spesso fornite tramite video, presentazione o linee guida. Anche un colloquio iniziale si tiene sempre. In esso vengono chiariti i particolari della gestione dei dati presso il cliente come responsabile.
Se si verificasse un danno ai dati, il DSB viene coinvolto. Lo stesso vale se le persone interessate esercitano il loro diritto di accesso (Articolo 15 GDPR). Inoltre, il DSB è un buon punto di contatto per domande tecniche e fornisce al suo cliente indicazioni quando ciò è appropriato.
Il responsabile della protezione dei dati sembra comunque non essere un committente di trattamento (vgl. Art. 37 DSGVO).
Proposta di motivazione per l'ordine al DSB
Come sarebbe se infine venissero sanzionate le violazioni delle regole di protezione dei dati obbligatorie? Tali regole sono reperibili nella GDPR come regolamento e nel TDDDG (ex TTDSG) e BDSG come leggi. Ma nessuno si interessa veramente per ciò che va storto in internet. In ogni caso, non in Germania.
Le autorità per la protezione dei dati non sanzionano affatto. I pochissimi casi in cui in Germania è stato emesso un'ammenda sono del tutto irrilevanti.
In Germania il più grave reato di violazione della privacy non è mai stato sanzionato.
Nessun caso unico = ambiente nullo o epsilon.
Il più grave violazione della privacy, che inoltre è la più facile da verificare, non è mai stata sanzionata neanche una volta. Si tratta di illecito tracking web compreso illeciti cookie. Solo per il caso in cui qualcuno trovi un caso: zero o cinque, è lo stesso che zero quando si parla delle milioni di violazioni della privacy che avvengono ogni giorno in Germania sul web. Il matematico avrebbe detto: il numero di sanzioni si trova all'interno dell' ambito epsilon di zero.
Se non ci fossero l'Associazione per la tutela dei consumatori e persone come Max Schrems che hanno ottenuto sentenze del Tribunale di giustizia dell'Unione europea con vasti effetti, in Germania nulla sarebbe cambiato. Oltre al fatto che le autorità emetterebbero nuove raccomandazioni, annuncerebbero e condurrebbero controlli per poi stabilire che ci sono problemi, i funzionari delle autorità tornerebbero a svolgere attività più piacevoli. Non si vuole essere impopolari. O, come un dirigente di sezione presso l'Ufficio per la protezione dei dati della Hessen, pensare anche alla pensione, che è solo un battito di ciglia lontana da 8 anni (queste informazioni sono state comunicate direttamente e ripetutamente). Non sorprende quindi che Google Analytics sia considerato innocuo da questa autorità e che le preferenze sessuali, espresse attraverso l'acquisto di giocattoli erotici, siano viste come dati non tutelabili.
Domanda di quiz: Qual è la differenza tra un consulente tributario e un responsabile della protezione dei dati?
Qualche possibile risposta a questa domanda del quiz, ignorando l'orientamento professionale di entrambe le figure:
- Il consulente fiscale viene chiamato consulente, il responsabile della protezione dei dati viene chiamato responsabile.
- Il consulente fiscale non è necessariamente obbligatorio, ma il responsabile della protezione dei dati personali spesso lo è già.
- Il consulente fiscale viene spesso incaricato, nonostante non sia prescritto, il responsabile della protezione dei dati ma piuttosto no.
- Con il consulente fiscale si discute raramente "con fiducia", con il responsabile della protezione dei dati invece sì ( "Non potremmo semplicemente inserire Google Analytics nel nostro sito web? Succederà comunque qualcosa!" )
Consulenti tributari contro il responsabile della protezione dei dati
Un consulente fiscale ha molto in comune con un responsabile della protezione dei dati. Entrambi sono consulenti, solo che uno è chiamato responsabile. Entrambi dovrebbero sbrigare tutti i possibili lavori, comunicati attraverso tutti i documenti inviati a mezzo posta. Entrambi non sono intermediari di commessa (al CFP ci sono attività specifiche da valutare in modo diverso). Entrambi hanno una responsabilità se non fanno il loro lavoro e soprattutto se non consigliano correttamente i propri clienti. Entrambi costano soldi. Entrambi non contribuiscono alla produttività di un'azienda, ma aiutano solo a soddisfare le norme legali.
Perché la mia azienda ha un consulente tributario, nonostante non sia obbligatorio? Perché nessuna azienda del paese (12 imprese) ha un responsabile per il trattamento dei dati?
La risposta è: Perché il commercialista è necessario per non avere problemi con l'Agenzia delle Entrate. Il responsabile della protezione dei dati aiuta qualcuno, ma non a sbarazzarsi di un problema, perché questo problema non esiste.
Chi ha paura del cattivo lupo?
Nessuno, se il cattivo lupo è un' autorità per la protezione dei dati.
Ognuno, quando il cattivo lupo è la finanza pubblica.
DSB contro tax consultant.
La principale differenza tra un consulente fiscale volontario e spesso obbligatorio responsabile della protezione dei dati è che il trattamento di dati fiscali avviene all'interno di una Drokhkulsse e l'ambito del trattamento dei dati personali senza alcuna conseguenza se non si comporta in modo completamente sciocco.
Le autorità in Germania non sanzionano. La Commissione per la protezione dei dati della Hessen non ha voglia di sanzionare. La Hessen è un esempio sicuro, poiché direttamente davanti alla porta e dichiarazioni da parte di rappresentanti delle autorità sono state personalmente sentite e anche in procedimenti estratti. Altre autorità sono più impegnate, ma hanno molto poco personale. In questo contesto si potrebbe nuovamente chiedere la abolizione del federalismo!
Il suggerimento di questo articolo è quindi:
- La richiesta di un incarico per i responsabili della protezione dei dati dovrebbe essere completamente abolita.
- Invece le autorità dovrebbero finalmente iniziare a sanzionare e ad applicare multe anche per violazioni avvenute online.
- Sottoposto, ma un bel dettaglio (DSB -> tax consultant): Il responsabile della protezione dei dati dovrebbe essere indicato con il titolo di consigliere per la protezione dei dati o almeno – analogamente all'esperto di imposte – come consulente e non come incaricato.
Con ciò si risolvono contemporaneamente diversi problemi:
- Una frontiera di collaborazione virtuale per un obbligo di acquisto viene meno. Il Parlamento ha tempo per altre attività.
- I dati personali vengono infine presi sul serio ovunque.
- La protezione dei dati diventa un valore aggiunto.
- Le piattaforme come Facebook o Instagram e i plugin come quelli di Google o Meta saranno infine puniti, cioè da chi le utilizza in modo illegale. Probabilmente presto anche Google o Meta dovranno rispondere.
Conclusione
Il mercato del rispetto per la privacy è malato. Ciò dipende dalle mancanze di sanzioni e da nulla altro. La colpa dei tutti i cookies e dei pop-up cookie non va attribuita alla DSGVO, ma a conglomerati come Google o Meta, che insieme a Microsoft e altri sospettati sono membri del Bitkom.
La GDPR sembra dare a persone coinvolte molti diritti. Ma quando si tratta di far valere questi diritti, allora diventa problematico.
Le autorità tedesche per la protezione dei dati personali non hanno né la voglia né il personale per emettere sanzioni.
D'altra parte, per ogni minimo dettaglio, si deve discutere davanti ai tribunali tedeschi se la GDPR è stata veramente così voluta. Ciò significa: è stato veramente voluto che qualcuno abbia il diritto di non avere le sue informazioni trattate in modo arbitrario, ma che poi anche lui possa insistere e pretendere l'astensione?
Anche questo va troppo lontano. Dove saremmo arrivati se ogni persona avesse diritti? Alla fine si potrebbe addirittura togliere l'obbligo di nominare un responsabile per la protezione dei dati, senza che nessuno lo noti. O magari fare in modo che il consulente fiscale sia obbligatorio e lo si chiami responsabile fiscale.
Messaggi chiave
Le aziende con almeno 20 dipendenti che trattano dati digitali devono avere un responsabile per la protezione dei dati.
In Germania le autorità non sanzionano le violazioni della privacy, nonostante siano frequenti.
L'articolo sostiene che il ruolo del responsabile della protezione dei dati è superfluo perché le autorità non applicano sanzioni e che sarebbe meglio abolire l'obbligo di nominare un responsabile.
La GDPR, pur dando molti diritti, è inefficace perché le autorità non applicano le sanzioni e i tribunali tedeschi discutono ogni dettaglio.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
