Responsabile della protezione dei dati

Garante: indicazioni sulla nomina del DPO (Data Protection Officer)

Il Garante per la Protezione dei Dati personali, con Newsletter n. 432 del 15.9.2017, è intervenuto per fornire indicazioni sulla nomina del Responsabile della Protezione dei Dati o Data Protection Officer (DPO), prevista agli artt. 37 ss. del Reg. UE 2016/679 (GDPR).

 

Regolamento privacy, come scegliere il responsabile della protezione dei dati
Le prime indicazioni del Garante: necessarie competenze specifiche non attestati formali

 

Le pubbliche amministrazioni, così come i soggetti privati, dovranno scegliere il Responsabile della protezione dei dati personali (RPD) con particolare attenzione, verificando la presenza di competenze ed esperienze specifiche. Non sono richieste attestazioni formali sul possesso delle conoscenze o l’iscrizione ad appositi albi professionali. Queste sono alcune delle indicazioni fornite dal Garante della privacy alle prime richieste di chiarimento in merito alla nomina di questa nuova  importante figura  – introdotta dal Regolamento UE 2016/679 -  che tutti gli enti pubblici e anche molteplici soggetti privati dovranno designare non più tardi del prossimo maggio 2018.

Nella nota  inviata a un’azienda ospedaliera l’Ufficio del Garante ricorda che i Responsabili della protezione dei dati personali – spesso indicati con l’acronimo inglese DPO (Data Protection Officer) – dovranno avere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Nella selezione sarà poi opportuno privilegiare soggetti che possano dimostrare qualità professionali adeguate alla complessità del compito da svolgere, magari documentando le esperienze fatte, la partecipazione a master e corsi di studio/professionali (in particolare se risulta documentato il livello raggiunto). Gli esperti individuati dalle aziende ospedaliere, ad esempio, in considerazione della delicatezza dei trattamenti di dati effettuati (come quelli sulla salute o quelli genetici) dovranno preferibilmente vantare una specifica esperienza al riguardo e assicurare un impegno pressoché esclusivo nella gestione di tali compiti.

L’Autorità ha inoltre chiarito che la normativa attuale non prevede l’obbligo per i candidati di possedere attestati formali delle competenze professionali. Tali attestati, rilasciati anche all’esito di verifiche al termine di un ciclo di formazione, possono rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenza  della disciplina ma, tuttavia, non equivalgono a una “abilitazione” allo svolgimento del ruolo del RPD. La normativa attuale, tra l’altro, non prevede l’istituzione di un albo dei “Responsabili della protezione dei dati” che possa attestare i requisiti e le caratteristiche di conoscenza, abilità e competenza di chi vi è iscritto. Enti pubblici e società private dovranno quindi comunque procedere alla selezione del RPD, valutando autonomamente il possesso dei requisiti necessari per svolgere i compiti da assegnati.

Il Garante si riserva di fornire ulteriori orientamenti, che saranno pubblicati sul sito istituzionale, anche all’esito dei quesiti e delle richieste di approfondimento sul Regolamento privacy, raccolti nell’ambito di specifici incontri che l’Autorità ha in corso con imprese e Pubblica Amministrazione.

 

Web Security e Privacy Officer

Presso l’Università di Bologna è attivo il Corso di Alta Formazione in “Web Security e Privacy Officer“, con carattere interdisciplinare, della durata di sette mesi. Tra gli insegnamenti previsti nel piano didattico vi sono le seguenti materie:

  1. Web society e web security (SPS/07)
  2. Sicurezza aziendale e nuove tecnologie (SPS/12)
  3. Indagini investigative e web (INF/01)
  4. Diritto alla protezione dei dati personali e Privacy Officer (IUS/01)

La figura del Privacy Officer (o Data Protection Officer, DPO – Responsabile della Protezione dei Dati) è stata istituzionalizzata nel Regolamento UE n. 2016/679 sulla Privacy, pubblicato oggi (4.5.2016) nella Gazzetta Ufficiale dell’UE.

Di seguito il link al testo integrale del Regolamento ed alla Gazzetta ufficiale: Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).

Chi fosse interessato al predetto Corso di Alta Formazione può consultare il sito di ateneo per gli approfondimenti e le informazioni utili su bando, requisiti e termini per presentare domanda, quota di iscrizioni, direttore, docenti, tutor, etc.

EnglishFrenchGermanItalianPortugueseRussianSpanish

My Projects

      EUPL.IT - Sito italiano interamente dedicato alla EUPL

E-Contract-U

Giornalismo Investigativo - Inchieste e Diritto dell'informazione

My Books

My e-Books