Vai al contenuto

Quali sono le competenze richieste al DPO?

GDPR e privacy
Condividi questo articolo

Si è molto parlato – e ancora molto si discute – di quali debbano essere le competenze e le qualità che deve possedere il (o, meglio, che non possono mancare al) Data Protection Officer (DPO) o, all’italiana, al Responsabile della Protezione dei Dati (RPD).

In base all’art. 37 del GDPR, il DPO:

  1. è designato in funzione delle sue qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati e della capacità di assolvere ai compiti previsti dall’art. 39 GDPR;
  2. può essere un dipendente del Titolare del trattamento o del Responsabile del trattamento oppure un consulente esterno con il quale il Titolare stipula un apposito contratto di servizi.

Come da tempo chiarito dal nostro Garante, allo stato non vi sono certificazioni in grado di attestare la sussistenza, in capo ad un soggetto, delle qualità e competenze richieste dal GDPR per il ruolo di DPO: “al momento le certificazioni di persone, nonché quelle emesse in materia di privacy o data protection eventualmente rilasciate in Italia, sebbene possano costituire una garanzia e atto di diligenza verso le parti interessate dell’adozione volontaria di un sistema di analisi e controllo dei principi e delle norme di riferimento, a legislazione vigente non possono definirsi “conformi agli artt. 42 e 43 del Regolamento 2016/679”, poiché devono ancora essere determinati i “requisiti aggiuntivi” ai fini dell’accreditamento degli organismi di certificazione e i criteri specifici di certificazione”.

Ad oggi, l’unica Autorità indipendente europea ad avere elaborato una specifica regolamentazione per la certificazione della qualifica di DPO sembra essere la Spagna, con il suo “Schema di certificazione a Data Protection Officer” (che potete trovare nella sezione “documenti utili” del Blog, cliccando qui).

Secondo l’art. 6 dello schema di certificazione spagnolo, il DPO deve possedere, tra le altre, almeno le seguenti competenze:

  1. deve avere un’esperienza professionale sui temi della data protection non inferiore a 5 anni (questa caratteristica è addirittura considerata un pre-requisito);
  2. deve sapere identificare i processi rilevanti ai fini della protezione dei dati;
  3. deve raccogliere tutte le informazioni rilevanti e supervisionare alla tenuta del registro dei trattamenti;
  4. deve saper consigliare quando occorre svolgere la procedura di Data Protection Impact Assessment (DPIA) o quando è necessario adottare particolari misure di protezione o, ancora, individuare quali siano le priorità in funzione del livello di rischio nella protezione dei dati di ciascun singolo trattamento.

Il nostro Garante ha pubblicato due soli documenti in merito al ruolo del DPO (anch’essi entrambi disponibili nella sezione documenti utili del Blog, cliccando qui):

  1. le FAQ sul DPO in ambito pubblico (dicembre 2017);
  2. le FAQ sul DPO in ambito privato (marzo 2018).

Vediamoli brevemente.

Nel primo documento (DPO in ambito pubblico), il nostro Garante sottolinea che il DPO:

  • deve godere di un grado sufficiente di autonomia e di indipendenza e, quindi, non dovrà ricevere alcuna istruzione in relazione ai compiti affidatigli in materia di data protection;
  • nell’atto di designazione (se soggetto dipendente e/o in forza alla PA ad altro titolo) o nel contratto di servizi (se soggetto esterno) devono essere indicate (“succintamente”) le motivazioni che hanno indotto a scegliere un determinato soggetto al ruolo di DPO: “la specificazione dei criteri utilizzati nella valutazione compiuta dall’ente nella scelta di tale figura, oltre a essere indice di trasparenza e di buon amministrazione, costituisce anche elemento di valutazione del rispetto del principio di responsabilizzazione”;
  • il DPO non deve, inoltre, essere in conflitto di interessi con la PA (principio che parrebbe scontato, ma che il Garante ha ritenuto comunque opportuno ribadire).

Per quanto riguarda, quindi, le specifiche competenze richieste al DPO in Italia, il Garante, in questo primo documento, ha preferito limitarsi a richiamare il principio di accountability sancito dal GDPR, senza offrire particolari delucidazioni in merito a quando possano dirsi, in concreto, sussistenti i requisiti di competenza e professionalità citati all’art. 37 del GDPR.

Nel secondo documento (DPO in ambito privato), il nostro Garante precisa che:

  • al DPO non sono richieste specifiche attestazioni formali o l’iscrizione in appositi albi;
  • il DPO deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento;
  • deve, inoltre, poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il Titolare nell’adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare;
  • deve agire in piena indipendenza e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici, disponendo delle risorse (personale, locali, attrezzature, ecc.) necessarie per l’espletamento dei propri compiti;
  • può essere designato sia un dipendente del Titolare “che conosca la realtà operativa in cui avvengono i trattamenti” sia un soggetto esterno (persona fisica o giuridica) nominato tramite un apposito contratto di servizi.

In questo secondo documento, quindi, il Garante ha offerto qualche elemento in più per comprendere quali debbano essere le caratteristiche imprescindibili che non possono mancare alla figura del DPO.

In un recente intervento, il Prof. Francesco Pizzetti (che, per chi già non lo conoscesse, è Professore Ordinario di Diritto Costituzionale all’Università degli Studi di Torino ed è stato Presidente dell’Autorità Garante della Privacy dal 2005 al 2012) ha chiarito che “dentro alla valutazione dell’impatto di rischio, si colloca il DPO, una figura specifica che non è il risk protection officer o il chief security officer; è una figura che deve avere competenze giuridiche legate alla protezione dei dati personali e, allo stesso tempo, al core business aziendale. Non sarà una figura informatica, ma una figura con competenze giuridiche che dialogherà con le figure informatiche in azienda, seguendo l’articolo 5 del Regolamento che descrive la protezione del processo”.

Il Prof. Pizzetti ha, inoltre, aggiunto che:

  1. “Il DPO è colui che verifica che i processi siano sicuri, che le persone siano formate, che i corsi di formazione siano effettivamente svolti, che accede ai processi aziendali ed è sempre al corrente (…) di quel che è stato fatto per mettere in sicurezza i processi; deve essere indipendente dal titolare, e non può essere licenziato, se non a fine del suo contratto” (o in caso di negligenza, ovviamente!);
  2. il DPO è il punto di contatto con l’Autorità indipendente: “quest’ultima necessita di una persona, all’interno delle aziende, che parli il suo stesso linguaggio, non il linguaggio dell’ufficio legale dell’azienda pronto per essere compreso solo dai giudici”;
  3. il DPO è il punto di contatto dell’interessato: “l’interessato non si rivolgerà al titolare dell’azienda, in caso di necessità, ma al DPO il quale rappresenta il Titolare. Per questo motivo, il nome del DPO deve essere reso pubblico a tutti i dirigenti d’azienda”.

Il Titolare del trattamento avrà, quindi, un compito non facile né scontato: scegliere una figura dotata di esperienza e di competenze articolate e complesse, in grado non solo di interpretare correttamente le norme del GDPR, ma di comprendere gli specifici processi organizzativi dell’azienda e le peculiarità del suo core business e che riesca, altresì, a mantenere una posizione di terzietà e di indipendenza all’interno dell’organigramma aziendale.

Cosa ne pensi? Lascia il tuo commento!