[size=18pt]DPO/RPD: approfondimenti sui requisiti per la designazione[/size]
[img width=300 height=168]https://scontent-mxp1-1.xx.fbcdn.net/v/t1.0-9/41941937_10218250678247639_8287135192859017216_n.jpg?_nc_cat=0&oh=9032f8f8e281042add2f7e5eb0c93dd0&oe=5C292C0E[/img]
[color=red][b]Quali sono i requisiti per essere designato DPO/RPD?[/b][/color]
Il GDPR prescrive che sia scelto "[b]in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all'articolo 39[/b]".
E l'art. 39 ne descrive i compiti:
a) [b]informare e fornire consulenza[/b] al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;
b) [b]sorvegliare [/b]l'osservanza del presente regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un[b] parere in merito alla valutazione d'impatto[/b] sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35;
d) [b]cooperare [/b]con l'autorità di controllo; e
e) fungere da [b]punto di contatto per l'autorità di controllo[/b] per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 36, ed effettuare, se del caso, [b]consultazioni [/b]relativamente a qualunque altra questione.
****************
Le prime domande che ci si può porre (le risposte sono frutto di valutazioni personali) sono:
[b]Deve essere laureato?[/b]
La normativa non lo prescrive espressamente.
[b]Se laureato o diplomato deve essero in materie giuridiche o tecnico/informatiche?[/b]
Anche in questo caso non ricaviamo alcuna indicazione univoca dalla norma. Leggendo le competenze ed il ruolo appare indispensabile una conoscenza giuridica (non solo teorica, ma anche pratico-operativa) ma non si può escludere che questa sia frutto di un percorso non curriculare.
Quindi possiamo avere:
- laureato in giurisprudenza (o simili) con capacità tecnologiche informali ed esperienza lavorativa nel settore
- laureato in ingegneria informatica (o simili) con conoscenze giuridiche ed esperienza lavorativa nel settore
- non laureato con capacità informatiche (formali o sostanziali) e conoscenze giuridiche e della prassi amministrativa
[b]Chi sceglie quali sono i requisiti da possedere?[/b]
Il titolare. Il titolare è tenuto ad accertare i requisiti se del caso prevedendo un bando/avviso per la selezione anche mediante colloquio, prove teorico-pratiche o altri strumenti analoghi e dovrà darne conto (responsabilizzazione) in caso di controllo. Per gli Enti Pubblici occorrerà procedere ai sensi del Dlgs 50/2016 all'affidamento determinando i criteri di valutazione
Ecco alcuni esempo:
http://www.iismajoranagirifalco.gov.it/attachments/article/1039/Allegato%20B%20-%20Griglia%20titoli%20DPO.pdf
http://emso.eu/wp-content/uploads/2018/07/Avviso-di-Selezione-DPO-.pdf
http://www.campielisi.gov.it/news/files/100-1.pdf
Ecco un esempio di SELEZIONE INTERNA:
https://www.segreteriacloud.eu/isalberghiero/driver/downloadGoogleDrive.php?id=1TRP0RdgfsWdSYoKtHdybqut0Y0XfEs4e&file=Bando_di_selezione_personale_interno_RPD.pdf
http://www.derogatisfioritto.gov.it/public/att/Circolari/Circolari_2018/Avviso_per_Responsabile_della_protezione_dati_personali.pdf
[b]Esistono corsi o certificazioni obbligatori?[/b]
NO, non sono previsti nè prescritti corsi o certificazioni indispensabili per divenire DPO/RPD. La necessità che il designato abbia le capacità descritte impone tuttavia che lo stesso si aggiorni costantemente e pertanto dovrà essere accertata la sua capacità di aggiornamento e formazione personale da parte del titolare.
[b]Quale è il tariffario del DPO/RPD?[/b]
Non esiste nè può esistere. La determinazione è rilasciata al libero mercato (se consulente esterno) o alla contrattazione collettiva e decentrata se dipendente del titolare.
[b]Occorre un atto formale di designazione ed esistono modelli standard?[/b]
Occorre che la designazione sia formalizzata tanto che, successivamente, deve esserne data comunicazione al Garante privacy mediante apposito modulo online (https://servizi.gpdp.it/comunicazione-rpd/) ma non esiste una modulistica per la designazione anche se il Garante ha suggerito uno schema: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/7322273
[b]Un DPO/RPD può svolgere la propria attività per più titolari?[/b]
Sì, formalmente non vi sono incompatibilità "teoriche" anche se, "praticamente" vi sono dei limiti impiciti:
1) un soggetto non può essere in posizione di conflitto di interessi, quindi non può essere DPO/RPD e contemporaneamente fornitore di servizi relativi al trattamento dati per conto del titolare
2) un DPO/RPD non può avere incarichi che numericamente rendano impossibile o difficile il serio svolgimento dell'attività per il singolo titolare
3) DPO/RPD non può avere legami (familiari, economici e personali) con i vertici aziendali (esercenti funzioni di titolare) che lo pongano in conflitto di interessi. Mutuando quanto previsto dall'art. 42 del Dlgs 50/2016 si potrebbe dire che "Si ha conflitto d’interesse quando il DPO/RPD interviene nello svolgimento della attività e può influenzarne, in qualsiasi modo, il risultato, avendo, direttamente o indirettamente, un interesse finanziario, economico o altro interesse personale che può essere percepito come una minaccia alla sua imparzialità e indipendenza nel contesto della procedura".
[b]Il DPO/RPD è solo una persona fisica o può essere una persona giuridica?[/b]
Può essere anche una persona giuridica il soggetto che svolge le funzioni di DPO/RPD anche se occorre comunque sempre la designazione (e relativa nomina al Garante) della singola persona fisica che opera per conto del titolare e sul quale si è effettuata la verifica dei citati requisiti
[color=red][b]Dove posso trovare approfondimenti[/b]
[/color]Ecco alcuni spunti:
Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico (in aggiunta a quelle adottate dal Gruppo Art. 29)
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/7322110
Faq sul Responsabile della Protezione dei Dati (RPD) in ambito privato
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8036793
Guidelines on Data Protection Officers ('DPOs') (wp243rev.01)
http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048
http://www.omniavis.it/web/forum/index.php?topic=46588.0
http://www.omniavis.it/web/forum/index.php?topic=45595.0
http://www.omniavis.it/web/forum/index.php?topic=46589.new#new
http://www.omniavis.it/web/forum/index.php?topic=45512.0
http://www.omniavis.it/web/forum/index.php?topic=45519.0
http://www.omniavis.it/web/forum/index.php?topic=44825.0
http://www.omniavis.it/web/forum/index.php?topic=45060.0
http://www.omniavis.it/web/forum/index.php?topic=45465.0
http://www.omniavis.it/web/forum/index.php?topic=46584.0
http://www.omniavis.it/web/forum/index.php?topic=45087.0
http://www.omniavis.it/web/forum/index.php?topic=46542.0
http://www.omniavis.it/web/forum/index.php?topic=46590.0
https://www.gdprchiaro.it/indice-faq.html
https://www.dpoinrete.it/