Mi trovo sempre più spesso a parlare del DPO (Data Protection Officer), una nuova figura presente nel Regolamento Europeo Privacy 679/2016.
Il DPO o RPD (Responsabile della Protezione dei Dati personali) dovrà essere adottato da tutte le Pubbliche Amministrazioni e da alcune imprese private in funzione della tipologia di trattamento dei dati.
Intorno a questa figura si sta già creando parecchia confusione, in parte per la mancanza di chiarezza da parte del Regolamento UE e in parte per speculazioni di consulenti e aziende che vogliono sfruttare questa novità.
Il Garante è intervenuto in questi giorni per fare un po’ di chiarezza e ha ricordato quali parametri dovranno essere tenuti in considerazione per la scelta del DPO.
Il DPO dovrà avere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.
Il Garante ha inoltre chiarito che la normativa attuale non prevede l’obbligo per i candidati di possedere attestati formali delle competenze professionali.
Tali attestati, rilasciati anche all’esito di verifiche al termine di un ciclo di formazione, possono rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenza della disciplina ma, tuttavia, non equivalgono a una “abilitazione” allo svolgimento del ruolo del RPD. La normativa attuale, tra l’altro, non prevede l’istituzione di un albo dei “Responsabili della protezione dei dati” che possa attestare i requisiti e le caratteristiche di conoscenza, abilità e competenza di chi vi è iscritto. Enti pubblici e società private dovranno quindi comunque procedere alla selezione del RPD, valutando autonomamente il possesso dei requisiti necessari per svolgere i compiti da assegnati.
Il Garante invita quindi le Pubbliche Amministrazioni a scegliere in funzione della conoscenza e non di titoli che, attualmente, non sono riconosciuti.
Spero che in futuro il Garante possa stabilire regole di certificazione per la figura del DPO in modo da poter aiutare le aziende pubbliche e private nella scelta della persona giusta e, ovviamente, dare maggiori garanzie a tutti noi per la protezione dei nostri dati personali