GDPR: come scegliere il responsabile della protezione dei dati (DPO)

Il Garante della privacy, dopo le prime richieste di chiarimento in merito alla nomina del Responsabile della protezione dei dati personali (DPO) introdotta dal Regolamento generale sulla protezione dei dati (GDPR), ha fornito maggiori informazioni in merito che di seguito vi riportiamo:

Le aziende dovranno nominare la figura di DPO prestando particolare attenzione alle esperienze pregresse dei soggetti, anche se non sono richieste attestazioni formali sul possesso delle conoscenze o l’iscrizione ad appositi albi professionali.

Requisiti per svolgere il ruolo di DPO

Infatti, nella nota inviata a un’azienda ospedaliera l’Ufficio del Garante ricorda che i Responsabili della protezione dei dati personali dovranno avere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.

Nella selezione sarà poi opportuno privilegiare soggetti che possano dimostrare qualità professionali adeguate alla complessità del compito da svolgere, magari documentando le esperienze fatte, la partecipazione a master e corsi di studio/professionali (in particolare se risulta documentato il livello raggiunto).

Gli esperti individuati dalle aziende ospedaliere, ad esempio, in considerazione della delicatezza dei trattamenti di dati effettuati (come quelli sulla salute o quelli genetici) dovranno preferibilmente vantare una specifica esperienza al riguardo e assicurare un impegno pressoché esclusivo nella gestione di tali compiti.

L’Autorità ha inoltre chiarito che la normativa attuale non prevede l’obbligo per i candidati di possedere attestati formali delle competenze professionali. Tali attestati, rilasciati anche all’esito di verifiche al termine di un ciclo di formazione, possono rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenza della disciplina ma, tuttavia, non equivalgono a una “abilitazione” allo svolgimento del ruolo di DPO.

La normativa attuale, tra l’altro, non prevede l’istituzione di un albo dei “Responsabili della protezione dei dati” che possa attestare i requisiti e le caratteristiche di conoscenza, abilità e competenza di chi vi è iscritto. Enti pubblici e società private dovranno quindi comunque procedere alla selezione del DPO, valutando autonomamente il possesso dei requisiti necessari per svolgere i compiti da assegnati.

Corsi di formazione

IT Governance fornisce corsi di formazione per tutti coloro che voglio intraprendere una carriera nel settore della protezione dei dati.

I nostri corsi di formazione, sia Base sia Professionali, sono certificati ISO 17024 e forniscono le conoscenze necessarie per applicare al meglio i requisiti del GDPR ed adempiere in modo responsabile a tutte le regole da esso richieste.

Scopri tutti i nostri corsi >>

DPO come servizio esterno

Il Regolamento consente alle imprese di esternalizzare il ruolo di DPO ad un fornitore esterno. Con la carenza di professionisti con competenze adeguate alla gestione delle responsabilità del DPO, l’esternalizzazione di tali compiti può aiutare l’azienda a soddisfare le richieste di conformità al GDPR, pur restando concentrata sulle attività principali.

Il servizio di DPO (Responsabile della Protezione dei Dati) è una soluzione pratica ed economica per le imprese che non dispongono delle competenze e delle conoscenze necessarie in materia di protezione dei dati e devono adempiere agli obblighi imposti dal Regolamento, ossia la nomina di un DPO.

Per maggiori informazioni sul ruolo di DPO e su come IT Governance può aiutarti per quanto riguarda l’esternalizzazione di questa figura, parla con un esperto di GDPR. Sarà lieti di aiutarti.

Parla con un esperto

Leave a Reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.