Data protection officer: obbligo, requisiti, compiti, e certificazioni
A distanza di cinque anni dalla sua introduzione sono ancora molte le aziende e le pubbliche amministrazioni che conoscono poco la figura del Data Protection Officer. Il riepilogo per capire chi deve designarlo, quali sono i compiti che gli sono attribuiti dalla legge, i requisiti che deve possedere, ed il valore delle certificazioni che lo riguardano. Parere negativo sulla Norma UNI 11697:2017 da parte di Federprivacy, che è rimasta sul proprio capitolato privato per la certificazione delle competenze del Privacy Officer rilasciata da TÜV Italia a quasi 500 professionisti.
Firenze, 13 marzo 2023 - Tra le prescrizioni introdotte dal Regolamento UE 2016/679, c'è anche la figura del Responsabile della Protezione dei Dati, conosciuto anche con il termine anglofono "Data Protection Officer". Benché in questi ultimi anni l'Autorità italiana per la privacy vi abbia dedicato abbondante documentazione sul proprio sito istituzionale, pubblicando anche un'apposita scheda informativa, e il Gruppo dei Garanti dell'UE abbia pubblicato delle specifiche Linee Guida sul Dpo, mentre Federprivacy ha anche realizzato un videoclip informativo, sono molte le aziende e le pubbliche amministrazioni che non hanno ancora chiaramente compreso quali sono i casi in cui deve essere designato, i compiti che gli sono attribuiti per legge, nonché il valore delle certificazioni che lo riguardano.
Con il Gdpr (General Data Protection Regulation) operativo in tutti stati membri Ue dal 25 maggio 2018, può quindi essere utile fare un riepilogo delle principali informazioni che occorre conoscere per adeguarsi alle nuove regole europee:
DESIGNAZIONE - Devono nominare obbligatoriamente un Responsabile della Protezione dei Dati tutte le pubbliche amministrazioni ed enti pubblici, eccetto le autorità giudiziarie quando esercitano le loro funzioni giurisdizionali. L'obbligo riguarda anche tutti i soggetti (enti e imprese) che nelle loro attività principali trattano su larga scala informazioni sensibili, relative alla salute o alla vita sessuale, dati genetici, giudiziari e biometrici, oppure che svolgono attività in cui i trattamenti richiedono il controllo regolare e sistematico degli interessati. Un gruppo di imprese o soggetti pubblici possono nominare un unico Responsabile della protezione dei dati. Le imprese, che non ricadono invece nell'obbligo di legge, possono comunque decidere di dotarsi ugualmente di un data protection officer. Il titolare del trattamento deve comunicare i dati di contatto del data protection officer all'Autorità di Controllo attraverso l'apposita procedura online.
COMPITI - Il Responsabile della Protezione dei Dati, ha il compito di informare e consigliare il titolare o il responsabile del trattamento da lui preposto, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento Europeo e dalle altre disposizioni dell'UE o delle normative locali degli Stati membri relative alla protezione dei dati. Deve poi verificare che la normativa vigente e le policy interne del titolare siano correttamente attuate ed applicate, incluse le attribuzioni delle responsabilità, la sensibilizzazione e la formazione del personale, ed i relativi audit. Su richiesta, deve fornire pareri in merito alla valutazione d'impatto sulla protezione dei dati, sorvegliandone poi i relativi adempimenti. Il Responsabile della Protezione dei Dati funge inoltre da punto di contatto sia con il Garante della Privacy che con gli interessati, che possono rivolgersi a lui anche per l'esercizio dei loro diritti. E' consentito assegnare al DPO ulteriori compiti e funzioni, a condizione che non diano adito a un conflitto di interessi e che questi gli consentano di avere a disposizione il tempo sufficiente per l'espletamento dei compiti attribuiti dall'art.39 del Regolamento Europeo.
REQUISITI - I titolari del trattamento devono designare come "data protection officer" un professionista che possiede una conoscenza specialistica della normativa e delle prassi di gestione dei dati personali, che sia in grado di adempiere alle proprie funzioni in piena indipendenza e in assenza di conflitti di interesse, operando come dipendente, oppure anche sulla base di un contratto di servizi. E' richiesto inoltre che il titolare metta a disposizione del Responsabile della protezione dei dati personali le risorse umane e finanziarie necessarie all'adempimento dei suoi compiti.
CERTIFICAZIONI - Come ribadito a più riprese dall'autorità, allo stato attuale non esistono titoli abilitanti o attestati formali che determinano l'idoneità di un Responsabile della Protezione dei Dati. Tuttavia, eventuali certificazioni delle competenze professionali, specialmente quando sono rilasciate da enti indipendenti di terza parte, costituiscono un valido strumento ai fini della verifica del possesso di un certo livello di conoscenza della disciplina. Come ha chiarito il Garante, tali certificazioni sono sempre volontarie, e non sono mai obbligatorie per svolgere il ruolo di Data Protection Officer, sia che siano basate su schemi proprietari che su norme tecniche pubbliche.
Tra i principali stakeholder italiani dei professionisti della protezione dei dati personali, da tempo Federprivacy ha espresso parere non favorevole sulla Norma UNI 11697:2017 per la certificazione del Data Protection Officer, continuando invece ad utilizzare il proprio capitolato privato della figura professionale di Privacy Officer e Consulente della Privacy con lo schema TÜV/CDP sviluppato da TÜV Italia, organismo che fin dal 2012 ha continuato ad essere quello che ha rilasciato singolarmente il maggior numero di certificazioni in Italia, con circa 500 professionisti che hanno scelto di far certificare le proprie competenze al noto ente bavarese.(Vedasi anche il videoclip "Come si svolgono gli esami di certificazione")
Iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013, Federprivacy conta oltre 15mila iscritti (di cui circa 2mila soci membri) offrendo loro una serie di vantaggi, e fin dal 2008 provvede regolarmente informazioni ed aggiornamenti gratuiti in materia di protezione dati attraverso il proprio sito ufficiale, la rivista trimestrale Privacy News, e la propria newsletter settimanale che viene inviata a più di 20.000 addetti ai lavori.