Il responsabile aziendale deve avere competenze specifiche
di Antonio Ciccia Messina

Il Responsabile della protezione dei dati (Rpd o all’inglese «Dpo, data protection officer») deve avere specifiche competenze, meglio se è un dirigente, da designare con un apposito atto anche se dipendente; non può essere il responsabile aziendale dei sistemi informativi o altro titolare di posizione in conflitto di interessi; meglio se ha un ufficio apposito.

Sono le risposte del Garante della privacy alle domande più frequenti su una figura chiave del Regolamento Ue (n.2016/679), che, dal 25 maggio 2018, manderà in soffitta gran parte del vigente codice della privacy.

In aggiunta a quanto sopra si precisa che non ci sono certificazioni abilitanti in via esclusiva, ma ben vengano sistemi di valutazione delle competenze.

In ogni caso (aggiungiamo noi) si tratta di una spesa per investimenti in competenze in materia di protezione dei dati; ed è meglio che le p.a. (tutte obbligate) e le imprese (obbligate se, su larga scala, trattano dati sensibili o fanno monitoraggio) spendano bene i loro soldi.

Ma vediamo di illustrare il contenuto delle Faq del Garante, che, seppure tarate sull’ente pubblico, hanno una valenza generalizzabile anche alle imprese.

Dirigente. Nel caso in cui si opti per un Rpd interno, è preferibile individuare un dirigente o a un funzionario di alta professionalità, in collaborazione diretta con il vertice dell’organizzazione.

Certificazione. Partiamo dal presupposto che non esiste un diploma o una laurea di Dpo, che però deve avere conoscenze giuridiche specialistiche. Come fare a valutare se quel tal professionista è idoneo? Si tenga conto che una cattiva nomina espone, in base al regolamento Ue, a sanzioni pecuniarie amministrative. Ci sono, tra l’atro, oggi sul mercato corsi per conseguire la certificazione di Dpo. Quanto valgono, allora, queste certificazioni e sono obbligatorie per poter fare il Dpo? La risposta del Garante è di assoluto buon senso. Le certificazioni non equivalgono, di per sé, a una «abilitazione» allo svolgimento del ruolo del Rpd e l’ente (pubblico o privato) deve comunque valutare il candidato Dpo.

Questo non significa, però, che la certificazione non valga nulla. Anzi, dice il Garante, le certificazioni sono, al pari di altri titoli, un valido strumento di verifica delle conoscenze.

Soprattutto (aggiungiamo noi) quando sono rilasciate, dopo la frequenza di corsi seri e impegnativi, da soggetti diversi dagli organizzatori dei corsi stessi.

Nomina. Nel caso di scelta di un Rpd interno all’ente, occorre formalizzare un atto di designazione (un fac-simile è disponibile sul sito www.garanteprivacy.it). In caso, invece, di ricorso a soggetti esterni all’ente, la designazione è parte integrante di un contratto di servizi.

Tra l’altro il contratto di servizi potrà essere concluso anche con una persona giuridica, ma bisogna individuare sempre una persona fisica che faccia da referente.

Conflitto d’interessi. È incompatibile con la funzione di Dpo il responsabile dei sistemi informativi, chiamato ad individuare le misure di sicurezza necessarie.

Informativa. Una volta individuato, il titolare o il responsabile del trattamento è tenuto a indicare, nell’informativa fornita agli interessati, i dati di contatto del Rpd, pubblicando gli stessi anche sui siti web. Per le p.a. è opportuno inserire i riferimenti del Rpd nella sezione «amministrazione trasparente», oltre che nella sezione «privacy» eventualmente già presente.

Notizia al garante. Mentre non è necessario, anche se potrebbe costituire una buona prassi, in ambito pubblico, pubblicare anche il nominativo del Rpd, occorre che il nome sia comunicato al Garante per agevolare i contatti con l’autorità.

Il garante ha predisposto un modello di comunicazione. Resta invece fermo l’obbligo di comunicare il nominativo del Dpo agli interessati in caso di violazione dei dati personali (data breach).

Ufficio apposito. Enti e imprese devono valutare l’opportunità/necessità di istituire un apposito ufficio al quale destinare le risorse necessarie allo svolgimento dei compiti stabiliti.
Fonte: