DPO ed Autorità Giudiziarie

Appare opportuno segnalare un dato che è passato piuttosto in sordina, anche tra gli addetti ai lavori.

Art. 2-sexiesdecies (Responsabile della protezione dei dati per i trattamenti effettuati dalle autorità giudiziarie nell'esercizio delle loro funzioni)
1. Il responsabile della protezione dati e' designato, a norma delle disposizioni di cui alla sezione 4 del capo IV del Regolamento, anche in relazione ai trattamenti di dati personali effettuati dalle autorità giudiziarie nell'esercizio delle loro funzioni.

Quindi, come si può leggere dal nuovo Codice novellato dal D.Lgs. 101, anche le autorità giudiziarie italiane debbono nominare un DPO-RPD.

Il Legislatore italiano conferma la estrema importanza della figura del Responsabile della Protezione dei Dati, specialmente negli ambiti dove si trattano dati personali che hanno molta rilevanza sulla dignità e quindi sulla vita delle persone.

Come diventare DPO?

Domandina frequente: come posso diventare un professionista della dataprotection, un privacy consultant o privacy auditor, oppure un D.P.O.?

La materia è estremamente complessa, multidisciplinare ed eterogenea; occorre quindi molto studio, affiancato da molta “esperienza sul campo”; non sono certamente sufficienti i molteplici corsi che sono spuntati ovunque come funghi.

In riferimento al “framework” delle competenze necessarie, direi che una buona base di partenza (relativamente all’ambito italiano ) siano le recenti norme UNI 11697:2017; vi sono classificati quattro diversi profili professionali:

  • Responsabile della Protezione dei Dati (RPDP);
  • Manager Privacy;
  • Specialista Privacy;
  • Valutatore Privacy;

anche se, a mio parere, questi profili molto diversificati inducono varie perplessità sulla opportunità di riunire nello stesso framework funzioni notevolmente diverse.

Inoltre, coloro che avranno ruoli come DPO di aziende multinazionali, dovranno avere anche competenze ulteriori, relative alle Nazioni estere nelle quali esse operano.

Barzelletta sul DPO

Prendendo spunto da alcune organizzazioni pubbliche, che hanno nominato quale D.P.O. il loro responsabile dei servizi informatici, una barzelletta sul D.P.O.

Piacere, sono il sig. Verdi, responsabile dei servizi informatici. Piacere mio, sono sempre il sig. Verdi, Responsabile della Protezione dei Dati.

Il Sig. Verdi (nella sua veste di DPO) chiede allo stesso Sig. Verdi (nella sua veste di Responsabile IT) che cosa mi dice del trattamento dei dati personali di questa organizzazione?

Sig. Verdi, cosa vuole che dica? L'abbiamo progettato, realizzato, testato e certificato noi, quindi TUTTO PERFETTO!

P.S. ovviamente il Sig. Verdi è un nome comunissimo che ho utilizzato nel racconto di fantasia; ogni riferimento a fatti e persone è puramente fortuito e non voluto.

Invece non è fantasia il fatto che il Garante tedesco ha già sazionato, nel passato, una assegnazione simile, in pieno conflitto di interessi.

DPO e ordini professionali

La vicepresidente della autorità Garante, Dr.ssa Augusta Iannini, intervenendo ad un forum, ha precisato che anche gli Ordini Professionali dovranno nominare il proprio DPO.

Non è stato ancora precisato nel caso di associazioni ed albi professionali; riterrei che l’obbligo di nomina si estenda, per similitudine, anche a quest’ultimi.

Aggiornamento di dicembre 2018: molti albi ed ordini professionali, ma anche associazioni come alla legge 4/2013, hanno nominato il proprio D.P.O.