GDPR, come scegliere il Data Protection Officer (DPO)


Il DPO, la nuova figura professionale introdotta dal nuovo Regolamento Europeo per la Privacy GDPR, dovrà essere obbligatoriamente nominato al verificarsi di una delle seguenti condizioni:

  • quando il trattamento è effettuato da un’autorità/ente pubblico;
  • quando il core business del Titolare o del Responsabile consiste di operazioni di trattamento, che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; o
  • quando il core business del Titolare o del Responsabile consiste nel trattamento su larga scala di particolari categorie di dati personali o giudiziari.

Ma quali sono i requisiti che un soggetto deve possedere poiché possa essere nominato Data Protection Officer?

Il Garante specifica che i Responsabili della protezione dei dati personali dovranno avere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.
In quelle realtà in cui la delicatezza dei trattamenti di dati effettuati (come quelli sulla salute o quelli genetici) è particolarmente elevata, il DPO dovrà vantare una specifica esperienza al riguardo e assicurare un impegno esclusivo in tale ruolo.

Nella selezione saranno inoltre privilegiati quei soggetti che possano dimostrare qualità professionali adeguate alla complessità del compito da svolgere. Nella normativa attuale, non è prevista alcuna certificazione specifica ma, al contrario, il Garante della Privacy specifica che “sono necessarie competenze specifiche, non attestati formali”: la partecipazione a master e corsi di studio/professionali potranno comunque essere utili alla documentazione delle esperienze specifiche maturate.
Non è inoltre prevista l’istituzione di un albo dei “Responsabili della protezione dei dati” che possa attestare i requisiti e le caratteristiche di conoscenza, abilità e competenza di chi vi è iscritto.

Il Garante si riserva di fornire ulteriori specifiche che saranno pubblicate sul sito istituzionale. Un’utile risorsa è la raccolta delle richieste di approfondimento raccolti nella specifica sezione. http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/6498465
Si può notare come la designazione del DPO sia indicata come assoluta priorità per un primo orientamento alla normativa:

la designazione del Responsabile della protezione dei dati – RPD (ossia DPO) (artt. 37-39)

Questa nuova figura, che il regolamento richiede sia individuata in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati, costituisce il fulcro del processo di attuazione del principio di “responsabilizzazione”. Il diretto coinvolgimento del RPD in tutte le questioni che riguardano la protezione dei dati personali, sin dalla fase transitoria, è sicuramente garanzia di qualità del risultato del processo di adeguamento in atto. In questo ambito, sono da tenere in attenta considerazione i requisiti normativi relativamente a: posizione (riferisce direttamente al vertice), indipendenza (non riceve istruzioni per quanto riguarda l’esecuzione dei compiti) e autonomia (attribuzione di risorse umane e finanziarie adeguate);”

Vai all’articolo su www.garanteprivacy.it >

 

Altre risorse:

“Infografica DPO, il ruolo del Data Protection Officer nel nuovo GDPR”
https://www.compet-e.com/index.php/2017/07/17/infografica-dpo/

 

“Garante per la Privacy e Accredia, al lavoro sulla certificazione GDPR”
https://www.compet-e.com/index.php/2017/07/31/garante-privacy-accredia-certificazione-gdpr/