fbpx
Ultime Notizie
Archivio
3 min

COME SCEGLIERE UN VALIDO DPO? IL GARANTE SANZIONA UNA SOCIETÀ PER “INADEGUATEZZA”

Avere un DPO non esula dalle sanzioni.

Ci troviamo nel caso di una società la quale ha provveduto a nominare un DPO per adempimento di obblighi di legge, ma ciò nonostante è stata colpita da una sanzione di 18000 euro per “inadeguatezza” del soggetto scelto. 

Il DPO viene introdotto con l’entrata in vigore del GDPR. La sua funzione consiste nell’affiancare il Titolare del trattamento (e il Responsabile) nello svolgimento di tutte le questioni verte alla protezione dei dati personali. E’ il punto di contatto tra azienda, Garante Privacy e interessato al Trattamento. Da subito, però, la sua presenza crea non pochi problemi all’interno dell’assetto aziendale.

Il GDPR, per non incorrere in confusione, precisa tre aree in cui la figura debba essere necessariamente nominata, ovvero ogniqualvolta si abbia un trattamento tra quelli elencati al primo comma dell’art.37.  In tutte le situazioni che esulano da quelle previste dal Garante, la società decide liberamente se avvalersene, in un’ottica di accountability, oppure rimanerne sprovvista.

Presupposta la necessità di questa figura per rispetto di legge, piuttosto che per predilezione della società, come individuo il soggetto migliore a cui affidare questa funzione?

Come scegliere un DPO

Come chiarito dall’articolo 37 dello stesso GDPR, bisogna selezionarlo in funzione di spiccate qualità professionali, soprattutto in relazione alla conoscenza della normativa e della prassi in materia di Privacy. Al DPO non è richiesto avere un particolare titolo di studio, tant’è che non ne è previsto alcuno, e neppure si chiede l’iscrizione ad un albo. Lo stesso regolamento precisa, quindi, che chiunque può diventare DPO. 

Ed eccoci arrivati al grande inghippo: le aziende si trovano sprovviste di indicazioni chiare e precise su cui basare le proprie scelte.

Le uniche indicazioni date, non previste a livello normativo, riguardano il conseguimento di Master universitari di I e II livello; un percorso di studio specializzato,; esperienza lavorativa nel settore; e, infine, corsi dedicati ai Privacy Specialist.

Tutto ciò implica una valutazione interna dell’azienda al fine di identificare la complessità dei trattamenti di dati effettuati in modo da essere consapevoli del livello di conoscenza necessario al soggetto da nominare.

Ma quindi, il soggetto può essere più o meno esperto in base alla società in cui svolga la propria funzione?

Non è corretta questa affermazione. Premesso che difficilmente un soggetto professionista potrà avere una conoscenza completa di qualsiasi competenza richiesta, il DPO deve garantire necessariamente delle conoscenze approfondite in materia di dati personali e in relazione al settore in cui il Titolare si trova ad operare.

Infatti, il Garante fornisce un primo vero parametro valutativo, ovvero, gli standard sono rispettati se “il DPO abbia almeno tre anni di esperienza professionale nella protezione dei dati”. 

L’Autorità di controllo ci ricorda, con questo provvedimento, che la scelta del DPO è un aspetto su cui porre molta attenzione. 

RP Advisor è composta da professionisti qualificati e certificati D.P.O. Per saperne di più o per richiedere informazioni visita la pagina “Privacy” del nostro sito o compila il nostro form online nella sezione contatti.

Immagine: https://it.freepik.com/