chi-puo-essere-dpo

Il GDPR ha portato in scena un nuovo attore, il Data Protection Officer (o Responsabile della Protezione dei Dati), una figura che certamente merita l’attenzione dedicatagli perché divenuta oramai essenziale nella privacy governance di numerose aziende e organizzazioni, sia pubbliche che private.

In apertura alla sezione del Regolamento Europeo 2016/679 dedicata al DPO, accanto all’individuazione dei casi in cui la sua nomina rappresenta un obbligo normativo, si inserisce un particolare riferimento agli elementi su cui tale scelta dovrebbe fondarsi.

L’articolo 37 del GDPR parla infatti di “qualità professionali” facendo, in generale, riferimento alle competenze necessarie per svolgere i suoi compiti.

I compiti del DPO

Per comprenderne le caratteristiche, per prima cosa diviene essenziale individuare quali attività sono demandate al DPO, sia esso nominato in adempimento ad un obbligo normativo o come scelta volontaria a protezione dei dati personali trattati.

L’art 39 GDPR individua una serie di compiti, presentando un elenco comunque non esaustivo in quanto il DPO è spesso coinvolto in molte altre attività in collaborazione e a supporto degli altri soggetti privacy.

Può quindi essere utile individuare a livello più generale le funzioni associate a questo ruolo, seguendo l’impostazione tenuta dai Position papers dell’EDPS[1]:

  • Informazione e sensibilizzazione, sia interna che esterna.
  • Consulenza indipendente sull’applicazione del GDPR offerta a titolari e responsabili del trattamento. Tale ruolo consultivo si declina, ad esempio, a seconda dello scenario, nella gestione di data breach o nell’elaborazione di DPIA necessarie per valutare i rischi connessi al trattamento di dati personali…
  • Funzioni organizzative, legate al supporto offerto al titolare nella definizione nella gestione dei registri dei trattamenti nonché della documentazione adottata in un’ottica di accountability.
  • Controllo della compliance normativa.
  • Presa in carico di controversie e reclami, in forza dei poteri investigativi riconosciutigli.

Le caratteristiche del DPO

Definite quelle che sono le attività demandate al DPO, è ora possibile individuare le competenze che deve possedere per poterle svolgere, posto che, comunque, è necessario che gli siano riconosciute le necessarie risorse.

Certamente, il contesto di riferimento ha un peso importante nel determinare il grado di qualificazione richiesto a chi ricopre questo ruolo. Il considerando 97 del GDPR fa riferimento ad un livello di conoscenza specifica determinato in base ai trattamenti di dati effettuati dal titolare e dal responsabile del trattamento nonché alla protezione che essi richiedono.

I profili del DPO

In concreto le competenze richieste al DPO si delineano sotto diversi profili.

Il primo è quello di natura giuridica, richiamato, ad esempio, dalle Linee guida sui RPD, in cui si fa riferimento ad una conoscenza di norme e prassi in materia di protezione dei dati a livello europeo e nazionale, nonché ovviamente dello stesso GDPR. Nel testo viene inoltre definito come “utile”[2] il possesso di una conoscenza del settore in cui opera il titolare del trattamento e delle sue attività.

In secondo luogo, la capacità di assolvere i compiti assegnatigli è strettamente connessa anche al possesso di qualità personali che chi ricopre l’incarico deve possedere, tra cui integrità, elevati standard deontologici e capacità comunicative[3].

Infine, un terzo profilo è individuabile nei requisiti di natura tecnica richiesti al DPO, come individuato dall’allegato alle Linee guida sui RPD che parlano di “familiarità con tecnologie informatiche e misure di sicurezza dei dati”. In relazione a queste competenze di natura tecnico-informatica, è intervenuta la UNI 11697:2017, una norma tecnica che definisce nel dettaglio, tra gli altri, anche il profilo professionale del DPO.  Quella di certificarsi è un’opportunità per potere dimostrare il possesso e mantenimento delle proprie conoscenze e competenze, anche se il Garante ha chiarito che l’essere certificati non è comunque un obbligo per chi ricopre il ruolo[4].

Conclusioni

Alla luce dei molteplici compiti che è chiamato a svolgere, il DPO deve essere una figura poliedrica e, anche in ragione di tale complessità, la sua efficacia è determinata non tanto da certificazioni formali, ma dalle competenze giuridiche, umane, professionali e tecniche di cui dispone[5]. Queste sono le caratteristiche, accanto ad una profonda conoscenza del contesto in cui è chiamato ad operare, che i titolari e i responsabili del trattamento dovrebbero tenere in considerazione nel nominare il proprio Responsabile della Protezione dei Dati.

 

[1] Position paper on the role of Data Protection Officers of the EU institutions and bodies, EDPS (30 September 2018)

[2] Linee guida sui responsabili della protezione dei dati, GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI (Adottate il 13 dicembre 2016 Versione emendata e adottata in data 5 aprile 2017) p. 15.

[3] Choosing the best candidate as your Data Protection Officer (DPO) Practical guidelines for organisations, CEDPO (30 maggio 2016)

[4] FAQ del Garante privacy in materia di accreditamento e certificazione ai sensi del GDPR – parte generale

[5] FAQ del Garante privacy sul Responsabile della Protezione dei Dati (RPD) in ambito privato

 

DPO: come segnalare al Garante la sua nomina

 

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!