Chi è il DPO?

Il DPO può essere sia un libero professionista (assolvere i suoi compiti in base a un contratto di servizi) sia un dipendente dell’azienda che tratta i dati (sia essa titolare o responsabile). In breve un DPO è un consulente di carattere legale (pur non dovendo essere necessariamente un giurista) la cui attività si estende anche a questioni tecniche. L’art. 37 del GDPR sottolinea come il responsabile della protezione dei dati sia designato in funzione delle qualità professionali, e soprattutto, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati. Tali conoscenze fanno riferimento esplicito alla capacità di assolvere i compiti elencati nell’articolo 39. Nel caso di dipendente bisogna comprendere bene quando disposto dall’art. 38 del GDPR, questo perché il DPO assume una peculiare posizione di indipendenza rispetto all’azienda anche quando si è in presenza di un rapporto di lavoro subordinato. Per favorire tale indipendenza l’art. 38 stabilisce una serie di doveri a carico del titolare del trattamento e il responsabile del trattamento:

• L’art. 38 del GDPR comma 1 impone che il DPO deve essere tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali;
• L’art. 38, inoltre, impone un obbligo al titolare e al responsabile del trattamento di sostegno al responsabile della protezione dei dati nell’esecuzione dei suoi compiti fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica;
• Al fine di assicurarne l’indipendenza il titolare e il responsabile del trattamento si devono assicurare che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti;
• Il DPO non può essere rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento;
• Gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal presente regolamento;
• Il responsabile della protezione dei dati ha un generale dovere di segretezza o riservatezza in merito all’adempimento dei propri compiti, in conformità del diritto dell’Unione o degli Stati membri;
• Qualora il responsabile della protezione dei dati svolgesse altri compiti e funzioni, il titolare del trattamento o il responsabile del trattamento si assicurano che tali compiti e funzioni non diano adito a un conflitto di interessi.

Quali sono i compiti del DPO?

I compiti del DPO sono indicati dall’art. 39 del GDPR che li elenca al comma 1:

• informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
• sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
• fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
• cooperare con l’autorità di controllo;
• fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.

Corso per diventare DPO

Sebbene il GDPR nulla dica in proposito nel tempo si sono sviluppati una serie di standard che fanno riferimento alla norma UNI 11697:2017 “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza”. Tale norma detta una serie di requisiti e un percorso formativo volti ad ottenere una certificazione delle competenze e conoscenze acquisite. Oltre alla certificazione prevista per il Responsabile della protezione dei dati, la norma UNI 11697 prevede le figure del Manager Privacy, Auditor Privacy e dello Specialista Privacy.

Tutte e tre le figure godono di uno specifico percorso formativo (che può essere svolto anche attraverso dei corsi online) e degli specifici esami.

Il percorso formativo pensato per il Responsabile della protezione dei dati secondo la norma UNI 11697 riguarda l’acquisizione di abilità e conoscenze non sono di carattere legale, ma anche tecnologico e di gestione. Il professionista che andrà ad esercitare il proprio lavoro in ambito privacy dovrà avere una conoscenza approfondita della normativa in materia di protezione dati che tenga conto degli sviluppi recenti come dell’evoluzione che ha subito nel corso degli anni. Il professionista, inoltre, sia che sia parte dell’azienda sia che sia un esterno dovrà avere contezza e sapersi inserire nei processi aziendali senza rappresentare un turbamento dell’assetto organizzativo attuale dell’azienda.

La pratica quotidiana ci restituisce storie che parlano di tensioni e incomprensioni interne che i DPO si trovano ad affrontare nel loro complesso lavoro. Sappiamo che spesso la materia della privacy è sottovalutata o, nel peggiore dei casi, del tutto ignorata da chi magari manca del necessario background giuridico. Affidarsi a dei professionisti della formazione dunque resta la via maestra per sviluppare le competenze necessarie a diventare un Responsabile della protezione dei dati che guarda all’azienda a 360 gradi creando sinergie che portano a integrare la tutela della privacy nei processi aziendali attraverso un processo armonioso e non discorde.

Ma le certificazioni valgono?

Il Regolamento privacy disciplina le certificazioni agli articoli 42 e 43. Tali articoli però fanno riferimento alla certificazione dei trattamenti di dati (“allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento”).

Il Garante ha specificato dunque che in quanto orientata alla certificazione di persone (e non del trattamento), la certificazione secondo la norma UNI 11697 non rientra tra quelle previste dall’art. 42 del GDPR. Tuttavia, il Garante sottolinea come la certificazione secondo la norma UNI 11697 “può rappresentare comunque, al pari di altri titoli, un valido strumento ai fini della dimostrazione del possesso, e del mantenimento, delle conoscenze, abilità e competenze da parte dei professionisti”.

Il Garante aggiunge, inoltre, che “per alcune figure che svolgono un ruolo importante negli organismi di certificazione (il personale responsabile delle decisioni e il personale responsabile delle valutazioni) il possesso di una certificazione a fronte della norma UNI 11697 è un elemento idoneo a dimostrare i requisiti di competenza ed esperienza in materia” (per approfondire si consultino le FAQ presenti sul sito del Garante per la Protezione dei Dati Personale:
https://www.garanteprivacy.it/regolamentoue/certificazione-e-accreditamento).