La designazione del Data Protection Officer (DPO) è un momento importante e delicato del processo di adeguamento privacy aziendale.

Il soggetto che si intende designare Responsabile della Protezione dei Dati (RPD) deve, infatti, possedere conoscenze specifiche e competenze specialistiche in materia di protezione dei dati personali.

L’art. 37 comma 5 del Regolamento Europeo Privacy, così come interpretato dalle “Linee Guida sui Responsabili della Protezione dei Dati (RPD)” emanate dal Gruppo di Lavoro Articolo 29 in materia di Protezione dei Dati Personali (WP29), definisce chiaramente i requisiti minimi che il soggetto che si intende designare Data Protection Officer deve soddisfare per potere essere ritenuto idoneo a ricoprire il ruolo.

Al fine di poter adempiere correttamente agli obblighi di legge, il Data Protection Officer deve essere designato sulla base di un’accurata valutazione dei seguenti parametri:

• Qualità Professionali: il DPO deve essere un soggetto che esercita in maniera professionale e continuativa il ruolo di Data Protection Officer garantendo standard qualitativi elevati e una conoscenza specifica del settore di attività, della struttura organizzativa, dei sistemi informativi e delle operazioni di trattamento del Titolare.
• Conoscenze Specialistiche: il DPO deve avere una conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati. La conoscenza specialistica può essere acquisita anche frequentando specifici corsi di formazione privacy in aula o in e-learning e/o acquisendo una certificazione delle competenze privacy da parte di un Ente di Certificazione di Terza Parte. Il livello di conoscenza specialistica richiesto al Data Protection Officer dal Regolamento Europeo Privacy è direttamente proporzionale alla complessità dei processi di trattamento svolti, alla tipologia dei dati personali trattati e alle specifiche problematiche in materia di protezione dei dati relative al settore di attività e all’area di intervento del Titolare del Trattamento.
• Capacità di Assolvere i Compiti: il DPO deve avere spiccate doti relazionali, strategiche, comunicative e di problem solving e qualità personali che gli permettano di portare a termine i compiti assegnati dal Titolare del Trattamento nel pieno rispetto delle disposizioni di legge previste dal GDPR, attenendosi agli obiettivi strategico-economici aziendali e garantendo il mantenimento di elevati standard deontologici e professionali.

La designazione del Data Protection Officer deve essere, pertanto, effettuata con estrema cautela e professionalità attenendosi scrupolosamente al rispetto di tutti i suddetti parametri richiesti dal Regolamento Europeo Privacy.

Una buona soluzione di compromesso che permette al tempo stesso il rispetto degli obblighi di legge e la soddisfazione delle esigenze economico-organizzative aziendali, è l’individuazione di un soggetto interno all’azienda, con approfondite conoscenze dei processi di trattamento e delle strategie aziendali, con ottime capacità di assolvere i compiti, da spostare in una posizione organizzativa a staff della Direzione a cui far frequentare un corso specialistico di formazione privacy per Data Protection Officer e a cui far ottenere una certificazione delle competenze in materia di protezione dei dati personali, al fine di poter dimostrare in caso di controllo delle Autorità Competenti di aver correttamente adempiuto agli obblighi di legge previsti dal GDPR.

Il mancato rispetto dei requisiti minimi per la designazione del DPO, comporta l’applicazione di una sanzione amministrativa pecuniaria per il Titolare del Trattamento fino a € 10.000.000 o fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente (ove superiore).

Dr. Eric Falzone – Data Protection Advisor – Partner EUCS

Articoli Privacy EUCS – www.eucs.it