In vista dell’approvazione definitiva del regolamento europeo sulla protezione dei dei dati personali, la designazione della figura di Data Protection Officer (responsabile della protezione dei dati ovvero Dpo) volta a rendere più effettiva l’applicazione della normativa sulla protezione dei dati personali, sta entrando nel vivo del dibattito anche in Italia. Il Dpo è un supervisore indipendente che sarà designato obbligatoriamente, da soggetti apicali di tutte le pubbliche amministrazioni e anche in ambito privato. A seconda del contesto in cui dovrà operare, il Dpo dovrà essere in grado di gestire questioni inerenti le diverse giurisdizioni.
Tra i complessi compiti affidati al Dpo si possono elencare: 1) sorvegliare la corretta applicazione della normativa sulla protezione dei dati, incluse le misure e le procedure tecniche e organizzative; 2) sorvegliare la corretta applicazione della protezione dei dati sin dalla progettazione degli applicativi (privacy by design), garantendo per gli stessi delle impostazioni privacy predefinite (privacy by default) nonchè la sicurezza dei dati; 3) effettuare ispezioni, consultazioni, attività di documentazione; 4) partecipare alla redazione dei Data protection impact analysis (c.d. Dpia), laddove le caratteristiche dei trattamenti dei dati lo rendano indispensabile; 5) fungere da contact point e collaborare con l’Autorità Garante per la protezione dei dati personali; 6) controllare che le violazioni dei dati personali siano documentate, notificate e comunicate (c.d. Data Breach Notification Management).
Sotto il profilo dello status, dovrà molto probabilmente occupare una posizione dirigenziale o manageriale, profilo senior, soprattutto per garantire la non ingerenza nelle proprie attività da parte del titolare e dovrà essere dotato di personale, locali e attrezzature sufficienti per adempiere i propri compiti, sebbene non è esplicito nel testo del regolamento, dovrà anche essere dotato di una propria linea di budget. Il Dpo potrà anche essere interno all’azienda oppure esterno in forza di un contratto di servizi, in quest’ultimo caso con una durata di quattro anni.
Un aspetto troppo spesso trascurato nell’attuale dibattito è che la designazione del Dpo è già obbligatoria da oltre dieci anni nelle istituzioni dell’Unione Europea. Analogamente, da alcuni anni in diversi Stati Membri – in base all’art. 18 della Direttiva 95/46/Ce – il Dpo è obbligatorio (Germania, Grecia, Ungheria, Slovacchia), in altri come in Francia, è invece previsto un Dpo ma come una figura facoltativa.
La domanda che a questo punto è cruciale porsi è, qual è il percorso di formazione del Dpo e quali sono requisiti professionali per tale figura? L’esperienza maturata in questi anni in ambito europeo, soprattutto nelle istituzioni, è un importante punto di riferimento per comprendere la figura del Dpo che sta per diventare obbligatoria anche Italia tramite il regolamento.
Il regolamento 45/2001 (art. 24) e i documenti contenenti le best practices europee sul Dpo, forniscono un fondamentale punto di riferimento per la Figura del Dpo anche in Italia.
In particolare, dal dato testuale del Regolamento europeo e dalla documentazione ufficiale in materia, risulta che allo stato non ci sono certificazioni europee per il Dpo, men che meno italiane, nè ci saranno a breve data la specifica volontà del legislatore europeo di affidare agli atti delegati della Commissione europea questa materia. Da una parte si può quindi affermare che non sono indispensabili certificazioni per ricoprire il ruolo del Dpo, è invece necessaria una “conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai compiti”.
Dall’altra parte, è estremamente probabile che le uniche certificazioni relative al Dpo che avranno un valore nei prossimi anni per le stazioni appaltanti in Italia – al fine della designazione del Dpo – saranno solo e soltanto quelle già internazionalmente riconosciute e rilasciate da organismi che operano da anni nel settore come per esempio da Isaca e da Iapp (p.e. Cissp, Cisa, Cism, Cipp et similia) poichè dirette a verificare competenze effettive e non certificazioni semplicemente formali.
Infine, occorre ricordare che per poter ricoprire il ruolo del Dpo, occorrerà quanto meno una conoscenza minimale in ambito tecnico-informatico che sarà in funzione della natura delle attività che svolge il titolare del trattamento, per esempio se il ruolo della Dpo dovesse riguardare un Comune o un ente pubblico potrebbe essere sufficiente una conoscenza tecnica piuttosto minimale, diverso è il discorso se l’impresa fosse invece un operatore telco o un operatore di e-commerce.