Il Garante della Privacy lussemburghese ha emanato una sanzione di 18.000 euro nei confronti di un ente pubblico per l’inadeguatezza del DPO, che deve prevedere, come statuito nel GDPR, determinati standard maturabili con almeno tre anni di esperienza.
L’Autorità motivare la propria decisione fondandola su tre richiami:
- il primo è l’art. 37 par. 5 GDPR, che prevede che “il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”. L’articolo 39, come è noto, riassume a grandi linee i compiti del responsabile della protezione dei dati;
- il secondo richiamo è l’art.97 dello stesso GDPR, secondo cui “il titolare del trattamento o il responsabile del trattamento dovrebbe essere assistito da una persona che abbia una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati nel controllo del rispetto a livello interno del presente regolamento […]. Il livello necessario di conoscenza specialistica dovrebbe essere determinato in particolare in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento”;
- Infine, la decisione fa riferimento alle linee guida redatte dal WP29, che nella versione italiana (consultabile al della Commissione Europea), al punto 2.5. (Conoscenze e competenze del RPD) riporta tre ambiti cui il DPO deve sottostare:
- capacità specialistiche, non definite in ambito temporale, ma il livello di conoscenza specialistica richiesto non trova definizione tassativa, ma deve essere proporzionato alla sensibilità, alla complessità e alla quantità dei dati sottoposti al trattamento;
- qualità professionali, in base alla conoscenza della normativa e alla formazione adeguata e continua;
- capacità di assolvere i propri compiti, ovvero quanto è legato alle qualità personali e alle conoscenze del RPD, sia quanto dipende dalla posizione del RPD all’interno dell’azienda o dell’organismo.
Il DPO, Data Protection Officer – in italiano RPD, Responsabile della Protezione dei Dati – è la nuova figura introdotta dal GDPR che ha la funzione di affiancare titolare, addetti e responsabili del trattamento affinché conservino i dati e gestiscano i rischi seguendo i princìpi e le indicazioni del Regolamento europeo.
Il DPO è quindi un consulente tecnico e legale, con potere esecutivo. Infatti, il suo ruolo è doppio, perché non solo consiglia e sorveglia, ma funge anche da tramite fra l’organizzazione e l’autorità.
È dunque una figura che lavora attivamente nell’organizzazione, proattiva e cooperante, che si trova ad essere a contatto con dati estremamente sensibili e importanti. Infatti si consiglia alle imprese di scrivere una policy interna che indichi per quali trattamenti debba essere sempre consultato il DPO.