DPO
Figura 2 - Blumatica Ponteggi

Francesca De Santis20 Novembre 20183min00

Data Protection Officer

Figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679, è un professionista con conoscenze specialistiche della normativa e delle prassi in materia di protezione dati. Viene designato obbligatoriamente quando:

  • un trattamento è effettuato da un’autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell’esercizio delle loro funzioni);
  • i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • quando il trattamento riguarda, su larga scala, dati sensibili o relativi a condanne penali e reati.

In tutti gli altri casi è facoltà dei titolari e responsabili del trattamento, nonché di loro associazioni o altri organismi che li rappresentano, designare il responsabile della protezione dati che può agire per dette associazioni e organismi.

Chi può assumere il ruolo di DPO? Quale formazione deve avere?

Il DPO può essere nominato fra i dipendenti dell’azienda oppure può essere designato un soggetto esterno: un avvocato, un ingegnere o, comunque, un soggetto dotato di idonee competenze.
L’articolo 37 non specifica le qualità professionali da prendere in considerazione nella nomina di un DPO. Sono certamente qualità indispensabili la conoscenza della normativa in materia di protezione dei dati e un’approfondita conoscenza del GDPR.
E, come se il Regolamento Europeo non richiedesse già conoscenze specialistiche e capacità sufficientemente elevate al soggetto che deve rivestire il ruolo di DPO, la Norma UNI 11697:2017 ha prospettato un percorso formativo di ben 80 ore.
Fortunatamente, la norma UNI ha carattere volontario e non prescrittivo come lo è invece il Regolamento UE per cui si ribadisce che non è assolutamente obbligatorio questo percorso formativo per svolgere il ruolo di DPO.

Come dimostrare le competenze di un DPO?

La responsabilità della scelta di un idoneo DPO è in capo al datore di lavoro di un’organizzazione, il quale, in caso di verifica ispettiva, ha l’obbligo di dimostrare i criteri di scelta del DPO. Il curriculum di un tecnico è sicuramente la base di partenza per avere dimensione di una solida esperienza lavorativa in materia di protezione dati personali.

La partecipazione a corsi di formazione specifici con relativi attestati è sicuramente l’altro fattore che determina la scelta. Una figura che abbia un’ottima conoscenza dei sistemi di gestione e del risk management sarebbe sicuramente da prendere fortemente in considerazione.

Ordini e collegi professionali hanno l’obbligo di nomina del DPO?

Gli ordini e i collegi professionali sono enti di diritto pubblico per cui vige l’obbligo di nomina del DPO.

Francesca De Santis

Responsabile Ricerca e Sviluppo Area Sicurezza


Lascia un commento

La tua email non verrà pubblicata. I campi obbligatori sono contrassegnati *