Scelta del DPO (Data Protection Officer): le prime indicazioni del Garante privacy
Il Garante per la protezione dei dati personali ha fornito – in una nota indirizzata a un’azienda ospedaliera - alcune prime indicazioni alle pubbliche amministrazioni e ai soggetti privati per la scelta del DPO - Data Protection Officer, in vista dell’entrata in vigore del nuovo Regolamento (UE) n. 2016/679 per la protezione e libera circolazione dei dati personali, il cosiddetto GDPR – General Data Protection Regulation.
Il ruolo del DPO è di fondamentale importanza in quanto a tale soggetto viene assegnato il delicato compito di fornire consulenza al titolare e al responsabile del trattamento in merito all’osservanza degli obblighi imposti dal GDPR, nonché quello di sorvegliarne l’osservanza e di cooperare con l’autorità di controllo.
I DPO dovranno, pertanto, avere un'approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento; i soggetti dovranno inoltre essere in grado di dimostrare qualità professionali adeguate alla complessità del compito da svolgere, possibilmente documentando le esperienze fatte e la partecipazione a master e corsi di studio/professionali.
L'Autorità ha inoltre chiarito la valenza di eventuali attestati formali delle competenze professionali che, rilasciati anche all'esito di verifiche al termine di un ciclo di formazione, possono rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenza della disciplina ma non equivalgono a una "abilitazione" allo svolgimento del ruolo.
Enti pubblici e società private dovranno quindi procedere alla selezione del DPO, valutando autonomamente il possesso dei requisiti necessari per svolgere i compiti assegnati.