PRIVACY E TRASPARENZA

DPO: Responsabile protezione dati (RPD)

Requisiti del DPO/RPD

REQUISITI PROFESSIONALI

Se viene nominato un RPD/DPO interno, deve essere designato un dipendente con qualifica dirigenziale ovvero un funzionario di alta professionalità che goda di una posizione organizzativa idonea a svolgere l'incarico con autonomia ed efficacia (Garante per la protezione dei dati, "Nuove Faq sul Responsabile della protezione dei dati (RPD) in ambito pubblico" e CODAU, "L'incarico di Responsabile della protezione dati personali GDPR"). Nei casi in cui la complessità e la mole di dati trattati sono rilevanti, l’incarico può essere dato anche ad un team di persone. In questo caso è necessario individuare una persona specifica quale punto di riferimento.

In base all’art. 37, par. 5, Regolamento UE, il RPD deve essere «designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39». Nel considerando 97 del reg. GDPR si prevede che il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali oggetto di trattamento.

- Conoscenza specialistica → deve essere proporzionata alla sensibilità, complessità e quantità dei dati trattati (ad esempio, se il volume di dati è consistente o se vi è il trasferimento sistematico di dati al di fuori dell’Unione Europea allora al DPO saranno richieste conoscenze più elevate e specifiche).

- Qualità professionali → è richiesta la conoscenza della normativa e delle prassi nazionali ed europee in materia di protezione dei dati, oltre ad un’approfondita conoscenza del reg. GDPR. Inoltre è utile una buona conoscenza del settore di attività e della struttura organizzativa nella quale opera. Se – come nel caso dell’Università – il RPD opera nell’ambito di un’autorità pubblica o di un organismo pubblico, questi deve conoscere le norme e le procedure amministrative applicabili.

- Capacità di assolvere i propri compiti → è necessario che il RPD sia in possesso di qualità personali quali l’integrità e i valori deontologici; deve anteporre sempre l’osservanza delle disposizioni del reg. GDPR. Deve, inoltre, promuovere la cultura della protezione dei dati e l’applicazione dei principi fondamentali.

IL PROBLEMA DELLA CERTIFICAZIONE

La figura del RPD è annoverata tra le professioni non regolamentate.

Alcuni enti certificatori hanno diffuso degli schemi che racchiudono le competenze professionali ritenute necessarie al fine della individuazione della miglior figura (a titolo di esempio, Schema requisiti Profili professionali relativi al trattamento e alla protezione dei dati personali UNI 11697:2017). Il Garante per la protezione dei dati, però, ha ritenuto tali strumenti esclusivamente utili per la verifica del possesso di un livello minimo di conoscenza della disciplina: essi non valgono quale abilitazione allo svolgimento del ruolo di RPD nè possono sostituire il giudizio discrezionale delle PA relativo al possesso delle capacità e conoscenze in materia di protezione dei dati.

Di particolare rilievo è la sentenza del TAR Friuli Venezia Giulia del 13/09/2018 n. 287 la quale ha stabilito che il possesso della certificazione di Auditor/Lead Auditor ISO/IEC/27001 non può essere posto quale requisito di ammissione alla selezione indetta da una P.A. per l’affidamento dell’incarico di RPD.

l 30 novembre 2017 l’Ente Italiano di Normazione (“UNI”) ha reso disponibile sul proprio sito web (raggiungibile all’URL http://store.uni.com/catalogo/index.php/uni-11697-2017.html) la norma UNI 11697:2017 “Attività professionali non regolamentate - Profili professionali relativi al trattamento e alla protezione dei dati personali - Requisiti di conoscenza, abilità e competenza”, con la quale ha definito i requisiti relativi all’attività professionale dei soggetti operanti nell’ambito del trattamento e della protezione dei dati personali, da questi esercitata a diversi livelli organizzativi (pubblico o privato).

Le figure professionali delineate dalla norma UNI sono le seguenti:

  • Data Protection Officer (DPO), figura di supporto al titolare o responsabile del trattamento nell’applicazione e per l’osservanza del Regolamento (UE) 2016/679 (“Regolamento”), in conformità agli articoli 37, 38 e 39 del medesimo;
  • Manager Privacy, figura che assiste il titolare nelle attività di coordinamento di tutti i soggetti che – nell’organizzazione – sono coinvolti nel trattamento di dati personali, garantendo il rispetto delle norme in materia di privacy e il mantenimento di un adeguato livello di protezione dei dati personali;
  • Specialista Privacy, figura che collabora con il Manager Privacy e cura la corretta attuazione del trattamento dei dati personali all’interno dell’organizzazione, svolgendo le attività operative che, di volta in volta, si rendono necessarie durante tutto il ciclo di vita di un trattamento di dati personali;
  • Valutatore Privacy, figura indipendente dal Manager e dallo Specialista Privacy che esamina periodicamente il trattamento dei dati personali, valutando il rispetto alle normative – nazionali, dell’Unione Europea e internazionali – applicabili e approva le misure necessarie per l’eliminazione di eventuali non conformità alla disciplina prescritta.

La norma individua analiticamente gli elementi e i criteri rilevanti ai fini della valutazione del possesso delle competenze per ciascuna figura, elencando qualifiche e requisiti di studio e professionali che i suddetti profili devono possedere.