DPO è chi DPO fa. Nulla di più vero. Oltre ciò, apparentemente il GDPR non richiede altro affinché si possa rispondere alla domanda su come si fa a diventare DPO. Non esistono infatti titoli abilitativi, e la norma UNI 11697:2017 è solo una certificazione volontaria che ha lo scopo di comprovare una serie di conoscenze, competenze e abilità che fanno riferimento al ruolo del DPO.
Quanto viene richiesto dal GDPR è la designazione di un soggetto in funzione di:
(i) qualità professionali;
(ii) conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati;
(iii) capacità di assolvere i compiti di cui all’articolo 39.
E per quanto riguarda conoscenze e competenze, il chiarimento che viene offerto da parte del considerando n. 97 GDPR è piuttosto emblematico:
“Il livello necessario di conoscenza specialistica dovrebbe essere determinato in particolare in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento.”
in modo totalmente coerente con l’approccio basato sul rischio.
Per quale motivo si racconta dunque che il profilo del DPO abbia una natura tricefala, ovverosia legale, tecnico e organizzativo? In pratica: dove è nata questa convinzione per cui si vorrebbe come DPO una sorte di cerbero in materia di protezione dei dati personali?
Queste caratteristiche possono essere trovate già all’interno del GDPR stesso e nei compiti che sono a questi assegnati. Informare e fornire consulenza richiede una conoscenza della normativa e delle best practices, ivi inclusi però gli standard tecnici di riferimento per l’information security e la comprensione dello stato dell’arte. Mentre invece è la sorveglianza richiede quanto meno la capacità di svolgere un audit.
Vero: il profilo deve essere eminentemente giuridico, o almeno così conferma TAR Friuli Venezia-Giulia del 13.9.2018 n. 287, ma ciò significa che occorre integrare tale profilo con altre skill.
Ecco dunque che la ricetta per il cocktail di competenze è servita, facendo riferimento tanto al singolo DPO quanto al team di DPO che svolgono tale funzione.
Come diventare parte del team DPO
Se per gli incarichi di DPO viene richiesta esperienza nel ruolo, è bene comprendere come è possibile acquisirla. Ecco che interviene la possibilità di partecipare ad un team o ufficio del DPO – eventualità peraltro esplicitamente contemplata dalle Linee guida WP243 sui Responsabili della Protezione dei Dati – in modo tale da maturare le proprie competenze e capacità individuali con lo svolgimento collettivo dell’incarico.
Dopotutto è la stessa norma UNI 11697:2017 a contemplare anche la figura junior del privacy specialist, ad esempio, definendola come “profilo pertinente a soggetti che supportano il Responsabile per la protezione dei dati personali e/o il Manager privacy nel mettere a punto le idonee misure tecniche e organizzative ai fini del trattamento dei dati personali”. Nulla di meglio per iniziare sul campo, insomma.
In questo caso, il contratto di servizi che prevede l’affidamento dell’incarico di DPO deve contenere sia l’indicazione di un soggetto come punto di contatto per il team, sia le garanzie in ordine alle qualità professionali possedute da ciascun componente e alla permanenza dei requisiti specifici richiesti. Soprattutto in ordine all’assenza di situazioni di conflitto di interessi.
L’importanza della designazione
La designazione del DPO – sia essa per effetto di una gara di selezione pubblica, un affidamento diretto di incarico o altrimenti una contrattazione tra privati – svolge pertanto un ruolo fondamentale nel precisare quali sono i requisiti richiesti per quel ruolo di DPO. Ivi inclusi i termini di servizio per le tempistiche di risposta, la frequenza degli audit, la condivisione del programma dei controlli e tutto ciò che ha la funzione di declinare operativamente i compiti già descritti dall’art. 39 GDPR ma che vanno riferiti al contesto operativo del designante.
Insomma: dal momento che il modo per diventare DPO, almeno formalmente, è per effetto di una designazione. Ma è bene che la stessa abbia una forma scritta e non sia limitata alla comunicazione dei dati di contatto all’Autorità garante per la protezione dei dati personali. Nella designazione è bene indicare, soprattutto nel caso di DPO esterno, un punto di contatto all’interno dell’organizzazione che solitamente è il referente privacy al fine di mantenere un canale di comunicazione ed informazione costante.
Altrimenti, il rischio è che la risposta a come diventare DPO rimanga intrappolata fra carte ed intenzioni.
