Scelta del DPO: i tre maggiori errori – le competenze


Hits: 44

Nel precedente articolo abbiamo visto come nella scelta del Data Protection Officer siano ricorrenti errori in grado di compromettere l’intero “impianto privacy”. In particolare, abbiamo trattato il caso del conflitto di interesse.

Cercheremo ora di focalizzare l’attenzione sul secondo tra i più frequenti riscontrati: le competenze.

Una volta ‘scartati’  i candidati in conflitto di interesse con la figura del Data Protection Officer, resta da comprendere come identificare le competenze necessarie a svolgere tale ruolo.

L’articolo 37 paragrafo 5 chiarisce che “Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39

Quindi, la scelta corretta del potenziale Data Protection Officer dovrà essere rivolta verso una figura che abbia, contemporaneamente, almeno queste caratteristiche e che possano essere dimostrate:

  1. conoscenza specifica della normativa sulla privacy
  2. conoscenza specifica delle tipologie di trattamento dati di un settore d’attività
  3. conoscenza delle modalità adeguate di attuazione delle misure di sicurezza nel settore specifico
  4. capacità di attuare la norma nel settore specifico
  5. capacità di “sorvegliare” l’attuazione della norma
  6. capacità di individuare soluzioni ‘adeguate’ inerenti il trattamento dei dati
  7. disponibilità di tempo e reperibilità

Molti di questi punti possono essere dimostrati facilmente attraverso l’esperienza pregressa nell’applicazione della normativa privacy nel particolare settore di attività, purché tale esperienza sia ‘considerevole’.

Discussione dei singoli punti

In presenza di tale esperienza, purché significativa come ruolo svolto e per un considerevole tempo (almeno decennale), i punti 1 e 2 potrebbero ritenersi pienamente soddisfatti. Per esempio, nell’area sanitaria aver ricoperto il ruolo di consulente privacy per dieci anni presso strutture sanitarie è da ritenersi una risposta soddisfacente ai requisiti in esame. Infatti, una significativa esperienza come consulente privacy per le strutture sanitarie presuppone un’approfondita conoscenza della normativa privacy (inclusi i provvedimenti, linee guida, pareri, ecc. emessi dal Garante privacy) e della sua applicazione nel trattamento di dati sensibili di natura sanitaria.

Il punto 3 ed il punto 4 dovrebbero essere affiancati almeno da altrettanto significativa esperienza nella progettazione o attuazione di sistemi di protezione per le tecnologie coinvolte nei trattamenti del settore di attività. Per esempio, in ambito sanitario è importante un’approfondita conoscenza delle tecnologie utilizzate nel trattamento dei dati in ogni processo e delle relative tecnologie per garantire la sicurezza dei dati stessi. È evidente come in questo caso sia necessaria una conoscenza approfondita sulle tecnologie.

Il punto 5 impone che si siano condotti audit di verifica privacy. Anche in questo caso, l’esperienza maturata deve essere significativa e specifica rispetto al settore in cui avviene il trattamento dei dati. La conduzione di audit privacy è un elemento chiave per l’accountability richiesta al Titolare del trattamento. Ecco perché è così importante.

Il punto 6 è un diretto requisito richiesto dall’articolo 39 paragrafo 2: “Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo“.

Tale requisito è possibile soddisfarlo esclusivamente se sono soddisfatti, contemporaneamente, i requisiti precedenti, poiché si chiede al Data Protection Officer di svolgere una funzione di valutazione molto delicata da cui dipenderà la ‘tenuta’ dell’intero sistema privacy. Quindi, non solo conoscenza e capacità ‘attuative’, ma capacità di svolgere una valutazione di ‘bilanciamento’ che è tipica di un organo di controllo super partes realmente indipendente.

In ultimo, il punto 7 è l’unico requisito richiesto indipendente dall’esperienza pregressa. Tuttavia, contrariamente a quanto possa sembrare, è un requisito tanto importante quanto difficile da reperire in normali logiche di economicità all’interno della struttura del Titolare.

Di fatto, un Data Protection Officer che abbia un’adeguata disponibilità e sia sempre raggiungibile può essere solo un DPO che svolge tale ruolo come unico impegno. D’altra parte, un Data Protection Officer che svolge anche altre attività difficilmente avrà la possibilità di concentrarsi proficuamente nell’assolvere il proprio compito.

Conclusioni

Nella ricerca dei requisiti, come nell’esclusione delle incompatibilità, è evidente la centralità della figura del Data Protection Officer come sistema di tutela del Titolare del trattamento.

La nostra speranza è di aver contribuito a rendere meno critico il percorso di individuazione del Data Protection Officer ed evitare anche questo errore.

Per dubbi o richieste potete lasciare un commento alla fine di questo articolo o scrive direttamente a presidenza@unilavoro.org

 

Nel prossimo articolo tratteremo un altro errore ricorrente legato al requisito di autonomia del DPO, cercando di mettere in evidenza quali aspetti valutare per essere compliant verso il Regolamento UE.

 

Su richiesta di alcuni lettori segnaliamo il servizio DPO messo a disposizione da Università del Lavoro.

Lascia un commento