News , Talk | 29.09.2017

COME SCEGLIERE IL DPO: LE LINEE GUIDA DEL GARANTE PRIVACY


Marketing & Communication
marketing@lcalex.it

Con una nota inviata ad una azienda ospedaliera, l’Autorità Garante per la protezione dei dati personali (il “Garante Privacy”) ha fornito delle indicazioni in merito al Responsabile della protezione dei dati personali (RDP o nel suo più noto acronimo inglese DPO – Data Protection Officer), figura chiave nel quadro giuridico delineato dal nuovo Regolamento UE 2016/679 sulla protezione dei dati (il “Regolamento”) e la cui designazione sarà obbligatoria a partire dal 2018 per i soggetti privati e per le pubbliche amministrazioni che effettuano monitoraggio delle persone o trattano dati sensibili su larga scala.

La nota del Garante Privacy non è particolarmente innovativa. Sulla scia di quanto già precisato nelle linee guida del Data Protection Working Party ex art. 29 del 13 dicembre 2016 (pubblicate il 5 aprile scorso), il Garante Privacy ha invitato gli enti pubblici e privati titolari e/o responsabili del trattamento a selezionare i nuovi DPO sulla base dell’adeguatezza delle qualità professionali e delle competenze specifiche possedute, da valutare alla luce della complessità del compito da svolgere all’interno della struttura del titolare e/o del responsabile del trattamento.

Il Garante Privacy ha ribadito che gli aspiranti DPO non sono tenuti a possedere attestati formali delle proprie competenze professionali, e che, qualora tali certificati siano rilasciati al termine di un ciclo di formazione professionale, non rappresentano una abilitazione bensì un mero indicatore dell’idoneità a svolgere questo ruolo.

Quali sono quindi i requisiti del DPO?

Qualità professionali. In primo luogo il DPO deve avere una solida esperienza ed un’approfondita conoscenza del Regolamento, della normativa e delle prassi nazionali ed europee in materia di protezione dei dati, eventualmente acquisita anche attraverso la partecipazione a master e corsi di formazione. Inoltre, è opportuno che il DPO abbia familiarità con il tipo di trattamento svolto, con il settore di attività e i sistemi informativi del titolare e/o del responsabile del trattamento ed altresì con le norme e le procedure amministrative e aziendali.

Conoscenza specialistica. In secondo luogo, il DPO deve avere una competenza specialistica adeguata. Il Regolamento non prevede né l’istituzione di un albo dei DPO che possa attestare i requisiti e le caratteristiche di conoscenza, abilità e competenza di chi vi è iscritto né, di conseguenza, l’obbligo per i candidati di possedere attestati formali delle competenze professionali. Tuttavia, a prescindere dalla formale “abilitazione”, la preparazione del DPO deve essere commisurata al tipo e alla quantità dei dati trattati, alle problematiche con cui il titolare o il responsabile devono confrontarsi, nonché alle esigenze di sicurezza e protezione manifestate degli stessi.

Capacità di assolvere i propri compiti. Infine, il DPO deve essere in grado di svolgere la funzione per cui è stato chiamato e di collaborare nell’attuazione degli elementi essenziali del Regolamento seguendo elevati standard deontologici. In tal senso, è fondamentale che il DPO, quale garante dell’osservanza delle disposizioni del Regolamento, promuova la cultura della protezione dei dati all’interno dell’azienda o dell’ente.

Sebbene la nota in questione non ne faccia menzione, ricordiamo che al DPO deve essere consentito di operare con un grado sufficiente di autonomia e di adempiere alle proprie funzioni in modo indipendente all’interno dell’organizzazione del titolare e/o del responsabile del trattamento.

In particolare, questi ultimi sono tenuti ad assicurare che il DPO non riceva alcuna istruzione nell’esecuzione dei propri compiti, a prescindere dall’inquadramento del DPO come dipendente o come fornitore esterno di servizi. In quest’ottica, è opportuno ribadire ancora una volta che il DPO non risponde personalmente dell’inosservanza degli obblighi in materia di protezione dei dati: la responsabilità ricade in ogni caso sul titolare e/o sul responsabile del trattamento.


Marketing & Communication
marketing@lcalex.it

Potrebbe interessarti anche

10.05.2024
Editoria e intelligenza artificiale | Tra tutela e sperimentazione

Oggi, a The Bar parliamo di uno dei temi più in voga degli ultimi tempi: l’intelligenza artificiale e il suo forte impatto nel mondo dell’e ...

24.04.2024
Furla ottiene con LCA la riassegnazione simultanea di oltre 30 nomi a dominio

La World Intellectual Property Organization accoglie le tesi della Maison, disponendo in un’unica procedura la consolidation e il trasferim ...

23.04.2024
Il modello “Pay or Consent” | L’opinione dell’European Data Protection Board

Il Comitato europeo per la protezione dei dati personali si è finalmente espresso sulla validità dei meccanismi “pay or consent”