Scopri i Master e Corsi che potrebbero Interessarti
Data Protection Officer: quando è obbligatorio, valutazione competenze, incompatibilità
Il Garante Privacy sale in cattedra, ed emana nuove linee guida per quanto riguarda la figura del Data Protection Officer.
Nel “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico”, che ingloba peraltro le FAQ già pubblicate nel 2017, sono indicate azioni che hanno l’obiettivo di risolvere i quesiti più rilevanti emersi nei primi tre anni di vita del GDPR ed orientare i titolari del trattamento.
Data Protection Officer, quando è obbligatorio: le linee guida
Nel particolare, l’attenzione si concentra, per l’appunto, sulla figura del Responsabile per la Protezione dei Dati. Delineandone il profilo, attraverso la sua designazione, i suoi compiti e le sue qualità professionali, le incompatibilità con altre cariche e i conflitti di interessi.
Per quanto concerne il primo punto, nell’articolo 37 del GDPR sussiste l’obbligo per cui il Responsabile debba essere nominato per le autorità pubbliche o gli organismi pubblici, fatta eccezione per le autorità giurisdizionali quando esercitano le loro funzioni. Il dubbio emerge nella obbligatorietà della designazione in relazione a soggetti privati che esercitano comunque compiti di interesse pubblico, nonché su un’eventuale possibilità di designare più di un RPD, uno per ciascuna articolazione.
Ebbene, per i soggetti privati che esercitano compiti di interesse pubblico, l’obbligo di designazione del RPD è rimesso a una valutazione che tenga conto degli elementi di cui allo stesso articolo 37. Inoltre, il Garante osserva come la nomina di più di un Responsabile possa condurre a sovrapposizioni o incertezze sulle responsabilità.
Data Protection Officer, valutazione delle competenze: come funziona
Secondo punto importante: come viene effettuata la valutazione delle competenze? In primo luogo, secondo il Garante, occorrerà valutare l’esperienza professionale attraverso la partecipazione ad attività formative specialistiche, le esperienze lavorative e professionali svolte risultanti, ad esempio, dal curriculum, e le autocertificazioni presentate; tuttavia, porterà valore anche l’eventuale esperienza del candidato in organizzazioni simili a quella del titolare, al di là dei titoli di studio o della professione svolta.
Data Protection Officer e incompatibilità: cosa dice il Garante
Un terzo, ultimo punto, probabilmente il più delicato, riguarda l’incompatibilità dei soggetti a svolgere il ruolo di RPD. Il Garante stesso ha riscontrato numerose situazioni in cui viene nominato, quale RPD, un soggetto che svolge altri compiti che possono determinare un’incompatibilità o una situazione di conflitto di interessi.
Ciò premesso, ritiene comunque che le tipologie di incarichi di cui alle Linee guida siano incompatibili con quello di RPD quantomeno per quanto riguarda le grandi amministrazioni. Per gli enti che non siano organizzazioni che dispongono di risorse adeguate ad avvalersi di un RPD che svolga solo tale funzione, il titolare dovrà effettuare una valutazione ad hoc.
by
Redazione Giuristi d’Impresa
