Dal 25 maggio entrerà in vigore in Italia il nuovo Regolamento europeo sulla privacy. Entro la stessa data dovrà essere nominato il Responsabile della protezione dei dati da parte di aziende e pubbliche amministrazioni.
Il Garante della Privacy ha fornito con la newsletter n. 432 del 15 settembre 2017 una serie di chiarimenti in merito a questa nomina.
Secondo il nuovo Regolamento UE il DPO “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39″.
Qualità professionali e conoscenze specialistiche del DPO
Il livello di conoscenza specialistica va determinato in base ai trattamenti di dati concretamente effettuati e alla protezione richiesta per i dati oggetto del trattamento.
Tra le conoscenze e competenze specialistiche pertinenti vi rientrano:
- la conoscenza da parte del DPO della normativa e delle prassi, sia nazionali che europee, in materia di protezione dei dati e, in particolare, una approfondita conoscenza del Regolamento 2016/679;
- una familiarità con le operazioni di trattamento svolte;
- una familiarità con tecnologie informatiche e misure di sicurezza dei dati;
- la conoscenza dello specifico settore di attività e dell’organizzazione del titolare/responsabile del trattamento;
- la capacità di promuovere una cultura della protezione dati all’interno dell’organizzazione
del titolare/responsabile.
Nel caso di un’autorità o un organismo pubblico il DPO dovrebbe possedere anche una buona conoscenza delle norme e delle procedure amministrative applicabili.
Se il DPO è un dipendente dell’autorità pubblica o dell’organismo pubblico quale qualifica deve avere?
Secondo il Regolamento occorre assicurare che il DPO “non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti” e riferisce direttamente al vertice gerarchico
del titolare del trattamento o del responsabile del trattamento”.
Tale rapporto diretto garantisce, in particolare, che il vertice amministrativo
venga a conoscenza delle indicazioni e delle raccomandazioni fornite dal DPO nell’esercizio delle funzioni di informazione e consulenza a favore del titolare o del responsabile.
Nel caso in cui si opti per un DPO interno, sarebbe in linea di massima preferibile che la designazione sia conferita a un dirigente ovvero a un funzionario di alta professionalità, che possa svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione.
Abilitazioni e certificazioni del DPO
Per ricoprire il ruolo di DPO il Regolamento non richiede né abilitazioni, né certificazioni, né
iscrizioni ad ordini professionali. Sul punto il Garante della Privacy, con la citata nota 28 luglio 2017 (newsletter n. 432 del 15 settembre 2017), ha chiarito che, allo stato, le disposizioni non prevedono alcun albo dei “Responsabili della protezione dei dati”, che attesti i requisiti e le caratteristiche di conoscenza, abilità e competenza, previste dal citato quadro normativo né richiedono che tali requisiti siano attestati attraverso specifiche certificazioni.
Con le “Nuove Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico” il Garante della Privacy ha precisato che “come accade nei settori delle cosiddette “professioni non regolamentate”, si sono diffusi schemi proprietari di certificazione volontaria delle competenze professionali effettuate da appositi enti certificatori”.
Il Garante ha ribadito categoricamente che “Tali certificazioni (che non rientrano
tra quelle disciplinate dall’art. 42 del RGPD)” … “pur rappresentando, al pari di altri titoli, un valido strumento ai fini della verifica del possesso di un livello minimo di conoscenza della disciplina, tuttavianon equivalgono, di per sé, a una “abilitazione” allo svolgimento del ruolo del RPD né, allo stato, sono idonee a sostituire il giudizio rimesso alle PP.AA. nella valutazione dei requisiti necessari al RPD per svolgere i compiti previsti dall’art. 39 del RGPD”.