Per comprendere la figura del Responsabile della protezione dei dati o Data Protection Officer (DPO) e come ottenere la sua certificazione, occorre fare necessariamente riferimento al Regolamento generale sulla protezione dei dati personali (Ue) 2016/679 (RGPD o GDPR secondo l’acronimo inglese). In particolare, bisognerebbe soffermarsi sul Capo IV, sezione 4. Il GDPR utilizza tre articoli per delineare la figura del DPO: l’art. 37 GDPR, che riguarda la designazione del responsabile della protezione dei dati; l’art. 38, che riguarda la posizione del DPO all’interno dell’organizzazione aziendale; l’art. 39 GDPR, che elenca i compiti del DPO. Da questi tre articoli possiamo ricavare una definizione di DPO quale “soggetto designato dal titolare o dal responsabile del trattamento in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti propri del Regolamento, con funzioni di consulenza, informazione e sorveglianza.”
Certificazione DPO: è obbligatoria?
Sebbene il GDPR nulla dica riguardo la certificazione per Data Protection Officer e di specifiche figure legate all’ambito privacy, nel tempo si sono sviluppati una serie di standard che fanno riferimento alla norma UNI 11697:2017 “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza”. Riguardo alla figura del Responsabile della Protezione dei Dati, la norma UNI 11697 individua dei requisiti minimi e indica una formazione completa e standardizzata. Alla fine del percorso formativo stabilito dalla norma UNI 11697 si accede a un esame di certificazione. La norma UNI 11697 definisce il Responsabile della Protezione dei Dati come “un profilo corrispondente al profilo professionale disciplinato nel Regolamento UE 2016/679, in particolare all’art. 39. È consentita l’assegnazione a tale profilo di compiti diversi e/o ulteriori inclusi in altri profili di livello manageriale nel rispetto del principio di assenza di conflitto di interessi.” La missione del DPO è, quindi, quella di fornire al titolare/responsabile del trattamento il supporto indispensabile ad assicurare l’osservanza del Regolamento UE 2O16/679.
Certificazione Data Protection Officer: come si ottiene
La certificazione per Data Protection Office, secondo la norma UNI 11697, riguarda l’acquisizione di abilità e conoscenze non solo di carattere legale, ma anche tecnologico e di gestione. Il professionista che andrà ad esercitare il proprio lavoro in ambito privacy dovrà, quindi, avere una conoscenza approfondita della normativa in materia di protezione dati che tenga conto degli sviluppi recenti come dell’evoluzione che ha subito nel corso degli anni. Il professionista, inoltre – sia che sia parte dell’azienda, sia che sia un esterno – dovrà avere contezza e sapersi inserire nei processi aziendali senza rappresentare un turbamento dell’assetto organizzativo attuale dell’azienda. Pertanto, per ottenere una certificazione per Data Protection Officer non si può prescindere dall’affidarsi a dei professionisti della formazione che permettano l’acquisizione di competenze attraverso l’insegnamento teorico accompagnato da casi derivati dall’esperienza pratica.
