DPO: Don't Panic!

 Si parla molto di DPO, o Data Protection Officer, ma come sempre si tende a fare molto rumore per nulla: anche il Garante si è pronunciato per smentire l'esistenza di "corsi abilitanti", chiarendo che:

Come accade nei settori delle cosiddette "professioni non regolamentate", si sono diffusi schemi proprietari di certificazione volontaria delle competenze professionali effettuate da appositi enti certificatori. Tali certificazioni (che non rientrano tra quelle disciplinate dall'art. 42 del RGPD) sono rilasciate anche all'esito della partecipazione ad attività formative e al controllo dell'apprendimento.
Esse, pur rappresentando, al pari di altri titoli, un valido strumento ai fini della verifica del possesso di un livello minimo di conoscenza della disciplina, tuttavia non equivalgono, di per sé, a una "abilitazione" allo svolgimento del ruolo del RPD né, allo stato, sono idonee a sostituire il giudizio rimesso alle PP.AA. nella valutazione dei requisiti necessari al RPD per svolgere i compiti previsti dall'art. 39 del RGPD

Ebbene: è possibile andare oltre?
Il valore positivo è che un corso, o una certificazione di competenze, può certamente essere un elemento per la valutazione di adeguatezza del DPO per titolare o un responsabile.
Ulteriore valore positivo delle indicazioni del Garante, è quell'incoraggiamento ad avere un po' di "managerialità" ed evitare approcci de-responsabilizzanti quali le affermazioni di principio come "il DPO è un lavoro in team":
Alcune organizzazioni complesse hanno richiesto all'Autorità di valutare la possibilità di designare più RPD.
Al riguardo, si rileva che l'unicità della figura del RPD è una condizione necessaria per evitare il rischio di sovrapposizioni o incertezze sulle responsabilità, sia con riferimento all'ambito interno all'ente, sia con riferimento a quello esterno, e pertanto occorre che questa sia sempre assicurata.
Insomma: il DPO deve essere unico.
Certamente, può avvalersi di un team, di un budget o anche di un'organizzazione propria per poter dimostrare di essere in grado di esercitare le proprie funzioni.

Caro DPO, per esser brevi: Don't Panic, be GDPReady!


Commenti