Obiettivo fare (bene) il DPO. Si moltiplicano i corsi, i master universitari e le sessioni formative utili supportare questa nuova figura, il Data Protection Officer, che è una delle novità più interessanti del GDPR 2016/679.
Uno di questi corsi lo organizziamo noi, PrivacyLab Academy, e tra gli altri ha avuto come relatore Francesco Pizzetti, ex Garante Privacy (oltre che curatore di una rubrica su questa testata, Ndr.).
Chi è e cosa fa il DPO
Una corretta formazione a questo ruolo è importante, perché il DPO è una figura centrale all’interno del nuovo impianto della privacy, inaugurato con l’entrata in vigore del GDPR a maggio 2018.
Il DPO viene designato tramite un atto e poi confermato attraverso una comunicazione ufficiale al Garante, ha conoscenze specialistiche della normativa sulla privacy e compiti di assistenza e controllo molto diversi. Le qualità professionali e il forte know-how del DPO devono essere del tutto adeguate ai suoi molteplici compiti. Il Responsabile della Protezione dei dati fornisce consulenza al management aziendale, è consapevole della normativa, conosce le prassi nazionali ed europee e gestisce le procedure relative al trattamento, alle misure di sicurezza dei dati personali e alla loro protezione, conosce le metodologie e i processi ICT.
Oltre alle numerose competenze multidisciplinari, il DPO deve essere anche in grado di promuovere una cultura della protezione dei dati attraverso l’applicazione delle norme e delle procedure amministrative (newsletter del Garante della Privacy n. 432 del 15 settembre 2017).
L’articolo 39 del Nuovo Regolamento 2016/679 definisce chiaramente i compiti di questo supervisore indipendente:
- tutela del Titolare e del Responsabile del Trattamento,
- garanzia della migliore protezione dei dati possibile attraverso un monitoraggio regolare e sistematico,
- cooperazione con l’autorità di controllo per tutte le questioni connesse al trattamento in collaborazione con l’Autorità Garante per la protezione dei dati personali,
- supervisione di tutte le attività attraverso il controllo, la formazione del personale e la sensibilizzazione rispetto agli obblighi previsti dal Regolamento,
- controllo che ogni violazione dei dati personali venga documentata, notificata e comunicata (Data Breach Notification Management).
Le attività del DPO
Il Data Protection Officer svolge una attività di consulenza in cui la conformità aziendale e la cultura della protezione dei dati personali rappresentano i suoi obiettivi principali: oltre alla supervisione completa di procedure e attività, il DPO è chiamato anche a comunicare con i vertici e verso l’esterno per facilitare queste operazioni.
Con l’approccio proattivo (definito obbligatorio dal GDPR) il DPO è in grado di aiutare a prevenire e mitigare i rischi per tutelare i diritti e le libertà degli interessati aiutando a valutare in modo preventivo l’impatto delle scelte aziendali. Un facilitatore, un comunicatore, un sorvegliante interno: il DPO è anche un punto di contatto in caso di incidenti di sicurezza (art. 33 co. 2 lett. b del GDPR) e, se gli viene richiesto, deve fornire il suo parere a proposito della valutazione d’impatto sulla protezione dei dati (DPIA Data Protection Impact Assessment) di cui deve sorvegliarne lo svolgimento.
Il Data Protection Officer ha indubbiamente tanti obblighi e responsabilità, ma ricordiamo che la sua figura non risponde personalmente della non conformità aziendale in quanto le responsabilità dirette ricadono esclusivamente sul Titolare e sul Responsabile.
Quali sono i requisiti per diventare DPO
Di fronte a tante esperienze e compiti ci si aspetterebbe una certificazione dedicata a questa figura e invece è importante segnalare al momento non esiste alcuna abilitazione ufficiale, quindi, chi desidera diventare DPO può svolgere corsi di formazione dedicati per conoscere in modo profondo la normativa, i processi e i metodi che coinvolgono la Privacy e la Data Protection.
I requisiti del Responsabile della Protezione dei Dati, quindi, risiedono soprattutto nelle conoscenze specialistiche delle prassi della Data Protection, della normativa, delle procedure e norme amministrative del settore di riferimento. Sicuramente diventa importante aver maturato esperienze specifiche e possedere qualità professionali adeguate al compito complesso che si è chiamati a svolgere.
Nello svolgimento delle sue funzioni il DPO deve essere indipendente, privo di conflitti di interesse e deve poter lavorare con risorse finanziarie e umane idonee all’adempimento dei suoi compiti. Il suo ruolo deve essere compatibile con le mansioni svolte (nel caso in cui sia interno all’azienda), come definito dall’articolo 38, ma deve avere il tempo materiale per espletare i compiti previsti dal GDPR senza che si verifichino conflitti di interessi.
L’unica norma a cui rispondere per diventare DPO è il Regolamento Ue. Come dicevamo all’inizio di questo articolo non esiste una patente per diventare DPO anche se esiste una norma UNI (11697:2017) pubblicata dall’Ente Italiano di Normazione che rende certificabile questa figura ma che di fatto non corrisponde alle indicazioni fornite dall’Authority.
L’importanza della formazione per il DPO
Nel GDPR viene consigliato un percorso di studi specializzati come privacy specialist per diventare Data Protection Officer: esistono corsi online e in aula, master universitari di I° e II° livello, sessioni formative e lezioni organizzate da aziende che si occupano di Privacy.
Per approfondire tutte le tematiche relative a questa figura e offrire una formazione adeguata a ricoprire il ruolo introdotto dal nuovo Regolamento Europeo è appena partito il Corso di Formazione da DPO – Data Protection Officer di PrivacyLab Academy.
Attraverso un percorso operativo e pratico, che è stato organizzato in 5 moduli di cui 2 erogati con eventi dal vivo con, tra gli altri, Francesco Pizzetti, ex Presidente dell’Autorità Garante per la privacy, e 3 in e-learning su una piattaforma dedicata, i partecipanti studieranno le prassi, le metodologie, le competenze tecniche e manageriali e il contesto nel quale si inserisce la normativa europea.
La partecipazione a questo Corso di Formazione da DPO – Data Protection Officer consente di iscriversi in presenza degli altri requisiti all’esame per ottenere la certificazione Unicert, Organismo accreditato ISO 17024 dal DAKKS per le competenze professionali). Nel prossimo evento dal vivo, in programma il 14 dicembre a Bologna, il DPO tedesco Christopher Schmidt analizzerà il ruolo e i compiti del Data Protection Officer secondo quanto previsto dal nuovo Regolamento Europeo 16/679 sulla protezione dei dati personali e descriverà l’esperienza tedesca del DPO. Inoltre l’Avvocato Barbara Sabellico approfondirà tutti i requisiti e le competenze necessarie per assumere questo ruolo all’interno delle organizzazioni pubbliche e private.
Per informazioni e biglietti
L’articolo è parte di un progetto di comunicazione sviluppato con il partner PrivacyLab
