DPO ed Autorità Giudiziarie

Appare opportuno segnalare un dato che è passato piuttosto in sordina, anche tra gli addetti ai lavori.

Art. 2-sexiesdecies (Responsabile della protezione dei dati per i trattamenti effettuati dalle autorità giudiziarie nell'esercizio delle loro funzioni)
1. Il responsabile della protezione dati e' designato, a norma delle disposizioni di cui alla sezione 4 del capo IV del Regolamento, anche in relazione ai trattamenti di dati personali effettuati dalle autorità giudiziarie nell'esercizio delle loro funzioni.

Quindi, come si può leggere dal nuovo Codice novellato dal D.Lgs. 101, anche le autorità giudiziarie italiane debbono nominare un DPO-RPD.

Il Legislatore italiano conferma la estrema importanza della figura del Responsabile della Protezione dei Dati, specialmente negli ambiti dove si trattano dati personali che hanno molta rilevanza sulla dignità e quindi sulla vita delle persone.

Come diventare DPO?

Domandina frequente: come posso diventare un professionista della dataprotection, un privacy consultant o privacy auditor, oppure un D.P.O.?

La materia è estremamente complessa, multidisciplinare ed eterogenea; occorre quindi molto studio, affiancato da molta “esperienza sul campo”; non sono certamente sufficienti i molteplici corsi che sono spuntati ovunque come funghi.

In riferimento al “framework” delle competenze necessarie, direi che una buona base di partenza (relativamente all’ambito italiano ) siano le recenti norme UNI 11697:2017; vi sono classificati quattro diversi profili professionali:

  • Responsabile della Protezione dei Dati (RPDP);
  • Manager Privacy;
  • Specialista Privacy;
  • Valutatore Privacy;

anche se, a mio parere, questi profili molto diversificati inducono varie perplessità sulla opportunità di riunire nello stesso framework funzioni notevolmente diverse.

Inoltre, coloro che avranno ruoli come DPO di aziende multinazionali, dovranno avere anche competenze ulteriori, relative alle Nazioni estere nelle quali esse operano.

Barzelletta sul DPO

Prendendo spunto da alcune organizzazioni pubbliche, che hanno nominato quale D.P.O. il loro responsabile dei servizi informatici, una barzelletta sul D.P.O.

Piacere, sono il sig. Verdi, responsabile dei servizi informatici. Piacere mio, sono sempre il sig. Verdi, Responsabile della Protezione dei Dati.

Il Sig. Verdi (nella sua veste di DPO) chiede allo stesso Sig. Verdi (nella sua veste di Responsabile IT) che cosa mi dice del trattamento dei dati personali di questa organizzazione?

Sig. Verdi, cosa vuole che dica? L'abbiamo progettato, realizzato, testato e certificato noi, quindi TUTTO PERFETTO!

P.S. ovviamente il Sig. Verdi è un nome comunissimo che ho utilizzato nel racconto di fantasia; ogni riferimento a fatti e persone è puramente fortuito e non voluto.

Invece non è fantasia il fatto che il Garante tedesco ha già sazionato, nel passato, una assegnazione simile, in pieno conflitto di interessi.

Comunicazione del DPO-RPD al Garante

Segnalo, a coloro che ne hanno l’obbligo, che il Garante ha predisposto la procedura on-line per segnalare la nomina ed i riferimenti dei DPO incaricati dalle varie organizzazioni.

Consiglio di comunicare, nei dati di contatto del DPO, un indirizzo pec invece della “normale” posta elettronica.

Aggiornamento: la procedura richiede (verificato oggi 19 maggio da un cliente) anche l’indirizzo e-mail classico.

La procedura è composta da due fasi; la prima riguarda l’inserimento dei dati del Titolare del trattamento e del DPO nominato; in seguito, il Titolare riceverà una e-mail con un allegato xml, da firmare digitalmente e restituire al Garante.

Aggiornamento 2: dopo un paio di giorni, il Garante invia la notifica della avvenuta designazione, al D.P.O. tramite posta elettronica.

Alle aziende che mi hanno nominato, ho già inviato tutti i miei dati di contatto da inserire nella procedura telematica.