Il Garante per la protezione dei dati personali si è nuovamente pronunciato sul tema del Data Protection Officer.
La presa di posizione è molto netta e, opportunamente, indica chiaramente la necessità di un approccio sostanzialistico: in pratica, non conta che il DPO abbia certificazioni, il DPO deve essere formato e avere competenze specifiche e multidisciplinari ma nulla rileva che abbia o meno una certificazione (di qualunque natura essa sia e qualunque valore abbia).
A parere del Garante le pubbliche amministrazioni, così come i soggetti privati, dovranno scegliere il Responsabile della protezione dei dati personali con particolare attenzione, verificando la presenza di competenze ed esperienze specifiche. In pratica, quindi, non sono richieste attestazioni formali sul possesso delle conoscenze o l’iscrizione ad appositi albi professionali: serve solo, invece, che il DPO possa garantire la corretta e completa esecuzione dei propri compiti.
Di particolare rilevanza la specificazione del Garante per la quale il DPO dovrà avere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Ovviamente, questo potrebbe portare a DPO “settoriali” considerando le fondamentali differenze che ci sono fra diversi settori di mercato.
Ancora, il Garante consiglia che nella selezione vengano privilegiati soggetti che possano dimostrare qualità professionali adeguate alla complessità del compito da svolgere, magari documentando le esperienze fatte, la partecipazione a master e corsi di studio/professionali (in particolare se risulta documentato il livello raggiunto).
In definitiva, quindi, le attestazioni delle competenze professionali raggiunte o della formazione eseguita possono essere utili per valutare un candidato ma non rappresentano e non equivalgono a una “abilitazione” allo svolgimento del ruolo del DPO.
Peraltro, la normativa attuale e il Regolamento Europeo n° 679/2016 non prevedono l’istituzione di un albo dei “Responsabili della protezione dei dati” che possa attestare i requisiti e le caratteristiche di conoscenza, abilità e competenza di chi vi è iscritto. Ciascun ente o azienda obbligata ad avere un DPO o che decida comunque di nominarlo, potrà quindi procedere alla selezione del DPO valutando autonomamente il possesso dei requisiti necessari per svolgere i compiti da assegnati.
Come si diceva, quindi, un approccio sostanzialistico che dovrà comunque permeare l’intero adeguamento al GDPR.
Con buona pace di inutili attestazioni e di operazioni di mercato sulle quali, in futuro, sarebbe opportuno riflettere.
