L’Art. 37 del Regolamento europeo per la protezione dei dati personali introduce l’obbligo per il titolare del trattamento e il responsabile del trattamento di nominare un DPO, ossia un responsabile della protezione dei dati, laddove vi sia un trattamento effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; o nel caso in cui le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure laddove le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o 10 del GDPR.
Tale soggetto, ai sensi del paragrafo 5 dell’art. 37 cit. “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”.
L’art. 39 prevede, infatti, che il DPO è tenuto ad informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal regolamento stesso; sorvegliare sull’osservanza del Regolamento; fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati; cooperare con l’Autorità di controllo nonché fungere da punto di contatto per la stessa per questioni connesse al trattamento.
Orbene, tanto premesso occorre individuare in concreto quali requisiti e competenze devono aversi per ricoprire il ruolo di DPO.
Sul punto, è intervenuto il Tar per il Friuli-Venezia Giulia con sentenza n. 287/2018 del 13 settembre 2018, specificando che il profilo del DPO “non può che qualificarsi come eminentemente giuridico”.
Il Tar ha, infatti, annullato un bando per la nomina del DPO di una azienda sanitaria poiché nello stesso veniva indicato quale requisito di partecipazione il possesso della certificazione ISO/IEC/27001.
A parere dei Giudici, invero, “la certificazione, indicata nell’avviso, di per sé non può costituire requisito di ammissione alla selezione in esame (né tanto meno assurgere a titolo equipollente al richiesto diploma di laurea), proprio perché essa non coglie (o non coglie appieno) la specifica funzione di garanzia insita nell’incarico conferito, il cui precipuo oggetto non è costituito dalla predisposizione dei meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma attiene semmai, come rilevato nel ricorso, alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali indipendentemente dalle modalità della loro propagazione e dalle forme, ancorché lecite, di utilizzo”.
Ne consegue che per poter rivestire il ruolo di DPO è fondamentale una valida conoscenza della normativa e delle prassi in materia di privacy proprie del settore di riferimento.
Proprio per tale ragione, pur essendo precluso l’accesso a tale ruolo ad altre categorie di soggetti, colui che voglia svolgere la funzione di DPO non può esimersi dal provare di avere competenze giuridiche particolarmente approfondite in relazione alla protezione dei dati personali.
Il nostro studio legale fornisce un servizio di DPO servendosi di consulenti altamente specializzati.
Se rientri tra i soggetti tenuti alla nomina del DPO, CONTATTACI!
Marta Strazzullo