Come diventare DPO?

Domandina frequente: come posso diventare un professionista della dataprotection, un privacy consultant o privacy auditor, oppure un D.P.O.?

La materia è estremamente complessa, multidisciplinare ed eterogenea; occorre quindi molto studio, affiancato da molta “esperienza sul campo”; non sono certamente sufficienti i molteplici corsi che sono spuntati ovunque come funghi.

In riferimento al “framework” delle competenze necessarie, direi che una buona base di partenza (relativamente all’ambito italiano ) siano le recenti norme UNI 11697:2017; vi sono classificati quattro diversi profili professionali:

  • Responsabile della Protezione dei Dati (RPDP);
  • Manager Privacy;
  • Specialista Privacy;
  • Valutatore Privacy;

anche se, a mio parere, questi profili molto diversificati inducono varie perplessità sulla opportunità di riunire nello stesso framework funzioni notevolmente diverse.

Inoltre, coloro che avranno ruoli come DPO di aziende multinazionali, dovranno avere anche competenze ulteriori, relative alle Nazioni estere nelle quali esse operano.

La nuova figura del DPO nel GDPR

Mancano pochi mesi alla entrata in vigore della nuova regolamentazione europea in materia di protezione dei dati personali.
Una delle novità introdotte dal codice è la figura del Data Protection Officer (D.P.O.) oppure Responsabile Protezione Dati (R.P.D.); tale ruolo sarà obbligatorio nelle maggioranza delle organizzazioni pubbliche.
Molti non hanno ben chiaro quali siano le caratteristiche di tale figura;  sicuramente dovrà avere competenze multidisciplinari, relative a conoscenza giuridiche, dei processi informativi, amministrativi e gestionali della propria organizzazione, ma anche concetti di sicurezza informatica e dei rischi derivanti.
Alcuni credono che il superamento di un processo di certificazione abiliti allo svolgimento del ruolo.
Purtroppo per loro, il Garante per la Protezione dei Dati personali italiano ha ribadito come, allo stato attuale, non esista alcun schema di certificazione che abiliti al ruolo di D.P.O.
Come indicato dal nuovo codice:
“il responsabile della protezione dei dati è designato in funzione delle qualità professionali,in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39” (Compiti del responsabile della protezione dei dati).
Il D.P.O. è un soggetto con un ruolo misto di consulenza e controllo: deve verificare l’applicazione del G.D.P.R., supportare, informare e consigliare la sua organizzazione, fungere da punto di contatto per le Autorità di controllo e gli interessati; in taluni contesti complessi, il ruolo di D.P.O. potrà essere ricoperto da un pool di persone che assommano tutte le competenze necessarie al ruolo.
La nomina del DPO non solleva le organizzazioni dalle proprie responsabilità; infatti, si tratta di una figura di controllo priva di responsabilità esecutive, che esprime solo pareri, ma le decisioni finali e le conseguenti responsabilità sono assunte dal Titolare del Trattamento dei Dati Personali. Come precisato dal Gruppo dei Garanti europei, il Responsabile della protezione dei dati non risponde personalmente in caso di inosservanza del GDPR: “Data protection compliance is a corporate responsibility of the data controller, not of DPO”.