Il DPO, un esperto di norme o di sicurezza?

Un soggetto esperto innanzi tutto di normativa, nazionale ed europea, fine conoscitore del GDPR e che non si trovi già a decidere in ordine alle finalità e ai mezzi del trattamento nell’ente in cui opera.

Sono alcune delle caratteristiche del responsabile della protezione dei dati che emergono da una prima lettura delle linee guida adottate dal Gruppo di Lavoro ex articolo 29 sul data protection officer.

Insieme a Francesca Giannoni – Crystal abbiamo scritto alcune prime impressioni in ordine al conflitto di interessi del DPO come analizzato nel parere del WP29, in particolare nella sezione 3.5 delle linee guida soffermandoci, però,  solo sui due aspetti sopra sommariamente accennati.

Il conflitto di interessi

Il Gruppo di lavoro evidenzia che mentre l’articolo 38 comma 6 del Regolamento generale sulla protezione dei dati consente al DPO di “svolgere altri compiti e funzioni”, l’ente deve comunque evitare di designare come responsabile della protezione dei dati coloro per i quali tali “compiti e funzioni” cagionino un conflitto di interessi.

L’assenza del conflitto di interessi è strettamente connessa alla necessità che il DPO sia in condizione di adempiere i propri compiti in maniera indipendente: il DPO pertanto non potrà occupare una posizione nell’organizzazione che gli consenta di determinare le finalità o i mezzi del trattamento, e l’eventuale posizione di conflitto dovrà essere valutata in concreto caso per caso. Comunque il WP29 offre in nota 34 una casistica esemplificativa, che va da posizioni dirigenziali nel settore risorse umane all’essere a capo del comparto IT. Il WP29 pare seguire la prassi consolidatasi in Germania, secondo cui il DPO non potrebbe supervisionare la sua stessa attività.

Esperto in diritto

Quanto alle conoscenze specialistiche che dovrebbe possedere il responsabile della protezione dei dati, queste si appuntano sulla conoscenza della normativa prima che sulla conoscenza dell’informatica.

Nel definire le qualità professionali, il WP 29 si sofferma sulla conoscenza della normativa nazionale ed europea sulla protezione dei dati e in particolare sul GDPR. Successivamente afferma che è utile anche la conoscenza dell’attività e dell’organizzazione del titolare, in modo da avere sufficiente comprensione delle operazioni di trattamento, del sistema informatico, della sicurezza dei dati per coprire le necessità del titolare.

Maggiore enfasi pertanto è posta sulla conoscenza delle leggi, che su quella, ad esempio, della cyber security.

Per approfondire, l’articolo originale è qui

I diritti di questo post sono riservati 

Il GDPR per le piccole (e piccolissime) imprese
07/07/2018

GDPR: le utilità gratuite per implementarlo
09/02/2018

Regolamento UE  2016/679: che fine fa il responsabile interno?
19/11/2017

La figura del DPO, nomina posizione e compiti
08/11/2017

Possibili effetti dell’estensione della data retention a 6 anni
12/09/2017

Eccezione per trattamenti a fini personali nel RGPD
08/06/2017