mani alzate con curricula

Se il DPO non ha i requisiti, l’azienda rischia la sanzione

Tempo di lettura stimato: 2 minuti

Quando il DPO (Data Protection Officer) viene nominato senza verificare che abbia i requisiti minimi richiesti, l’azienda rischia di incorrere in pesanti sanzioni.

Il caso

E’ di questi giorni la notizia che la Commissione nazionale per la protezione dei dati del Lussemburgo (CNPD) ha sanzionato un’azienda pubblica con una multa di euro 18.000.

La colpa? Aver selezionato un Dpo inadeguato per il ruolo.

La sanzione è stata inflitta all’esito di  un’ indagine  a campione che, per circa due anni, ha coinvolto diverse realtà pubbliche e private.

L’obiettivo degli audit  era quello di verificare se i Dpo selezionati rispettassero i requisiti di professionalità richiesti.

Nel corso dei controlli era quindi emerso come la criticità principale fosse proprio relativa alle competenze ed alla capacità specifica del DPO.

A margine della sanzione, l’autorità del Lussemburgo ha ritenuto opportuno  precisare  gli standard qualitativi richiesti.

Tali requisiti potrebbero considerarsi soddisfatti solo se il soggetto selezionato abbia maturato almeno tre anni di esperienza professionale in materia di protezione dei dati.

E’ auspicabile che controlli di questa tipologia vengano effettuati anche in Italia.

Quali requisiti deve avere il DPO?

Le indicazioni del Garante – in merito alle qualità che il DPO deve possedere – si sono man mano evolute  nel corso del tempo.

L’art. 37 par. 5 del GDPR prevede sostanzialmente tre requisiti fondamentali:

  • adeguate qualità professionali,
  • conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati
  •  capacità di assolvere i compiti di cui all’articolo 39”.

Tale indicazione è stata ripresa all’interno del “considerando” 97 GDPR,

In base a questo disposto normativo “il titolare del trattamento o il responsabile del trattamento dovrebbe essere assistito da una persona che abbia una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati.”

Secondo lo stesso considerando il titolare del trattamento dovrebbe misurare il livello adeguato di conoscenza specialistica in base ai trattamenti di dati effettuati ed alla protezione necessaria.

All’interno delle linee guida redatte dal WP29, si prevede – poi – che il livello di competenza del DPO debba essere proporzionato alla sensibilità, alla complessità ed al volume dei dati trattati dal Titolare.

La sostanza che si evince da tutte le indicazioni del Garante è che il DPO debba avere una conoscenza approfondita della normativa e delle prassi nazionali in materia di dati personali, oltre che del settore in cui il titolare del trattamento si trova ad operare.

Rilevante per il Garante è inoltre il fatto che il DPO deve operare in piena indipendenza ed in assenza di conflitti di interesse rispetto al titolare del trattamento.

Tiriamo le somme

Siamo tornati a parlare del DPO, quale importante figura in ambito privacy, proprio perché – con l’arrivo dei controlli e delle sanzioni da parte del Garante – questa figura rappresenta uno snodo cruciale per la corretta applicazione della normativa privacy.

Molto spesso, invece, le aziende, trovandosi nella situazione di dover individuare per legge il DPO, decidono di affidare il compito ad un lavoratore già interno all’azienda, oppure al professionista che si propone al prezzo inferiore, senza valutarne minimamente i requisiti di professionalità ed esperienza.

Una scarsa attenzione nella scelta del DPO, oltre al rischio privacy e alle conseguenti sanzioni,  può procurare all’azienda un grave danno in termini di immagine.

Considerato il crescente utilizzo di dati personali, una selezione oculata del responsabile della protezione dei dati appare, pertanto, inevitabile.

 

Tags:
, ,


Primo contatto
Chiamaci a questo numero: 0422-235703.