Il GDPR, entrato in vigore il maggio scorso e ufficializzato il 19 settembre, ha già avuto i suoi effetti.
Il caso vuole che oggetto della sentenza depositata il 13 settembre scorso dal Tribunale Amministrativo Regionale per il Friuli-Venezia Giulia, sia un DPO, un Data protection officer, che dovrebbe svolgere la propria attività presso un’Azienda sanitaria.
Seguendo le disposizioni introdotte da GDPR, l’Azienda, dopo aver evidenziato l’impossibilità di individuare la figura del DPO tra i dipendenti della medesima amministrazione, si è prodigata nel trovarlo esternamente. Tale figura avrebbe dovuto assolvere ai compiti del DPO come previsto dall’art. 39 del GDPR, occupandosi dell’aggiornamento giuridico, organizzativo e metodologico per la gestione aziendale della privacy, per la gestione aziendale della privacy, per la redazione del registro dei trattamenti, per lo svolgimento di valutazioni di impatto sulla protezione dei dati (DPIA).
Tutto corretto non fosse che un vizio di forma si fosse già palesato nell’annuncio con cui l’Azienda ha affrontato la selezione del candidato, il quale doveva essere laureato in informatica/giurisprudenza (o avere un Titolo equipollente) e che doveva possedere la qualifica di Auditor o Lead Auditor ISO/IEC/27001. Come se tali requisiti fossero sufficienti per rivestire il ruolo di DPO. E invece no.
I requisiti di un DPO
Come indicato dal Tribunale “i presupposti per la corretta individuazione della figura del DPO – sia da parte di soggetti pubblici che privati – sono racchiusi nella norma del quinto comma dell’art. 37 del GDPR, in base al quale il DPO “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”. Di primaria importanza nell’interpretazione dei criteri di scelta è anche il considerando 97 del GDPR in base al quale il DPO dovrebbe essere “una persona che abbia una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati nel controllo del rispetto a livello interno” del GDPR e, infine, “il livello necessario di conoscenza specialistica dovrebbe essere determinato in particolare in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento”. Ad ulteriore specificazione delle modalità di individuazione del DPO assumono rilevanza fondamentale le linee guida sui responsabili della protezione dei dati adottate dall’Art. 29WP (attualmente il Comitato europeo per la protezione dei dati personali). Le linee guida, anzitutto, prevedono la possibilità (in linea rispetto a quanto previsto dal considerando 97 del GDPR) di distinguere il livello di conoscenze specialistiche richiesto al DPO a seconda, caso per caso, della complessità del trattamento o del volume di dati sensibili oggetto del trattamento. Inoltre, si evidenzia come le qualità professionali da prendere in considerazione per la nomina del DPO non siano affatto specificate dall’art. 37 del GDPR. Pur non essendo individuate chiaramente le qualità professionali richieste, appare chiaro che il DPO debba avere conoscenze sulla normativa e sulle prassi nazionali ed europee in materia di protezione dei dati, ivi compreso il GDPR. Inoltre, il DPO dovrebbe conoscere lo specifico settore (in cui eserciti la sua professionalità), le operazioni di trattamento ivi svolte e le esigenze di sicurezza manifestategli dal titolare. Inoltre, il DPO operante nella PA, dovrebbe avere una familiarità con le norme e le procedure amministrative di riferimento. Sempre le linee guida dell’Art. 29WP, ad ulteriore specificazione delle competenze specialistiche che dovrebbero caratterizzare il DPO, indicano: familiarità con tecnologie informatiche e misure di sicurezza dei dati; capacità di promuovere una cultura della protezione dati all’interno dell’organizzazione del titolare o del responsabile”.
La sentenza in sintesi
- Il DPO non può non avere – ed essere in grado di dimostrarle –competenze nell’ambito giuridico così come delineato dall’Art. 29WP;
- La qualifica di auditor o lead auditor ISO/IEC/27001 non è condizione essenziale per svolgere il ruolo di DPO;
- Il candidato, indipendentemente dai “bollini” e dagli attestati in suo possesso, deve dimostrare di aver conoscenza della disciplina e delle normative adottate su tutto il territorio europeo.
La sentenza in pratica
L’Azienda sarà obbligata a rivedere i criteri di ricerca del candidato.
SCOPRI DI PIU’ SUL DPO
Chi è il DPO?
Che mansioni deve svolgere?
Come può tutelare il proprio lavoro?
Cosa fare contro le controversie generate dall’entrata in vigore del GDPR?
Il fatto costituisce un campanello di allarme per tutte le Aziende Italiane ed Estere: chi può dirsi assolutamente allineato con le nuove disposizioni previste da GDPR?
La fase di adeguamento non può dirsi certamente conclusa. Ancora molte sfumature vanno comprese. Tuttavia dal 19 settembre il GDPR è in vigore e nessuno sconto è previsto per chi si mostrerà ancora, in qualche modo, impreparato. Un motivo in più per assicurare la propria azienda e la propria professione contro quelle controversie dovessero sorgere in questo periodo di incertezza. Essere cauti è il promo passo per lavorare in serenità perché, purtroppo, agire in buona fede non basta.
*Le informazioni riportate non costituiscono contratto e non impegnano il broker o l’assicuratore per il quale valgono le condizioni contrattuali sottoscritte tra le parti. Leggere attentamente il set informativo di polizza prima della sottoscrizione.
