mercoledì 26 settembre 2018

Competenze e requisiti del DPO - Il problema delle certificazioni


di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy

L’articolo 37 del Regolamento Europeo 679/2016 prevede la nomina del Data Protector Officer, senza però darne né precisa definizione né esaustiva descrizione della figura. I successivi articoli 38 e 39 indicano la posizione che dovrà assumere all’interno della struttura ed i suoi compiti ma, anche qui, non indicano compiutamente quali caratteristiche debba avere e i suoi requisiti, titoli, attestati e quant’altro. Pertanto, ad oggi, quello che è uno dei soggetti principali della nuova normativa europea in materia di trattamento dati personali, non ha una sua tipizzazione normativa, tant’è che non esiste alcun albo o registro dei DPO e neppure sono state emanate (a livello europeo o dei singoli Stati)  norme che contribuiscano a creare la categoria.
L’unica norma del regolamento che indica caratteristiche e competenze del DPO è il comma 5 dell’articolo 37 che testualmente recita:
“Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all'articolo 39.”

Una norma decisamente aperta che lascia spazio non solo a possibili interpretazioni e differenze nella sua applicazione, ma anche per la tipizzazione e definizione della figura del DPO che, ovviamente, non potrà essere lasciata in balia degli stati membri: chiara ed evidente è infatti la necessità di ciascuno di essi di avere una uniformità non solo definitoria, anche in considerazione del fatto che l’attività del DPO si svolge su tutto il territorio europeo.

In questo momento, premesso comunque che la nomina del DPO è già obbligatoria per enti e aziende, i responsabili della sicurezza, trattamento, conservazione dati e ogni altra attività necessaria connessa, devono disporre esclusivamente di competenze basiche che gli permettano di svolgere il proprio incarico in collaborazione e coordinandosi con il Titolare del trattamento. Dette competenze dovranno essere valutate in concreto sulla base delle dimensioni e struttura dell’azienda o ente, delle peculiarità tecniche e organizzative, nonché della tipologia di dati e trattamenti. Raccomandazione comunque importante è che la figura del DPO sia terza rispetto all’organizzazione aziendale, al fine di poter disporre delle necessarie indipendenza e autonomia per poter esercitare le sue mansioni senza incorrere in alcun conflitto di interessi, anche solo potenziale, con il Titolare ed i suoi collaboratori. Ricordiamo infatti che, tra i compiti del DPO, troviamo quello di intervenire a fronte di ogni anomalia e tenere i rapporti con le autorità garanti, ivi compreso il preciso dovere di comunicare entro il termine massimo di settantadue ore dalla scoperta, ogni possibile minaccia o perdita di dati, pena in caso di omissione, oltre alle responsabilità personali, le salatissime sanzioni economiche previste dalla normativa.

Attenzione pertanto agli specchietti per allodole di sedicenti corsi di certificazione o che rilasciano attestati di qualifica che non avranno alcuna efficacia legale. 

Possiamo pertanto sintetizzare che, in questo momento e in attesa della creazione di un albo, verosimilmente europeo, dei DPO le figure che possono essere nominate devono disporre di conoscenze tecniche e giuridiche sufficienti ed aggiornate in materia, ma anche capacità aziendali e relazionali che raramente si possono trovare in una figura unica quale, ad esempio, un avvocato o un informatico puro. Il tutto per offrire prestazioni che garantiscano standard ottimali ai Titolari e alle aziende tenuto conto che, verosimilmente, la certificazione di adempiere compiutamente al GDPR, potrà essere richiesta da nuove normative per la partecipazione a gare di appalto nonché ai fini del Documento Unico di Regolarità Contributiva (DURC).

Nessun commento:

Posta un commento