Background

A partire dal 25 maggio 2018, tutti i titolari del trattamento dei dati per i quali ricorrono i requisiti di cui all’Art. 37 del Regolamento generale sulla protezione dei dati (“GDPR”) dovranno nominare un Responsabile per la protezione dei dati (Data Protection Officer, o “DPO”).

Il 15 settembre 2017, il Garante italiano per la protezione dei dati personali (“Garante”) ha chiarito che gli enti pubblici e privati dovranno nominare il DPO sulla base di competenze verificate e specifiche esperienze. Secondo quanto indicato nella sua nota, i certificati o le iscrizioni ad albi professionali non sono obbligatori per la nomina del DPO.

Contesto giuridico e principali questioni

Nel caso in oggetto, il Garante ha inviato una nota ad un ospedale italiano chiarendo che un DPO avrà bisogno di una specifica e profonda conoscenza della normativa e della prassi in materia di protezione dei dati. Nella nota, il Garante ha suggerito che la selezione di un adeguato DPO si dovrà basare su competenze professionali acquisite con una reale e specifica esperienza. A tal proposito, certificati relativi a master e/o corsi potranno essere considerati un valore aggiunto per comprovare il livello di conoscenza della materia, se quest’ultimo è specificato nella certificazione, ma non saranno considerati obbligatori. Le attestazioni formali infatti, a detta del Garante, possono rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenza della disciplina ma, tuttavia, non equivalgono a una “abilitazione” allo svolgimento del ruolo di DPO, considerando anche il fatto che l’attuale normativa non prevede la costituzione di un albo professionale per i DPO.

Nel caso di ospedali o di altri enti che operano nel settore della sanità, poi, la selezione di un DPO richiederà la verifica di un’esperienza ancora più specifica. I trattamenti di speciali categorie di dati personali infatti, come identificati all’Art. 9 del GDPR (quali sono i dati relativi alla salute o i dati genetici), richiedono una specifica esperienza, ed il ruolo di DPO in tali contesti comporta un livello di impegno pressoché esclusivo.

In poche parole, il requisito principale da verificare al fine di selezionare il DPO è la reale capacità di eseguire i compiti richiesti; il Garante si riserva di fornire ulteriori orientamenti in futuro.

Implicazioni pratiche

Al fine di adempiere alle indicazioni fornite dal Garante, prima di nominare un DPO, gli enti private e pubblici dovranno seguire le seguenti indicazioni, e nello specifico:

  • valutare solo i Curricula Vitae che danno evidenza di un’adeguata esperienza in materia di protezione dei dati;
  • considerare le certificazioni relative a master o corsi che indicano il livello di conoscenza acquisito della materia solo come uno strumento utile per la valutazione, ma in nessun caso come un'”abilitazione” a ricoprire il ruolo di DPO;
  • in caso di trattamento di categorie speciali di dati personali, come i dati riguardanti la salute o i dati genetici (Art.9 GDPR), selezionare solo i candidati che possiedono un’elevata specializzazione in tali settori, in considerazione della delicatezza delle operazioni di trattamento;
  • in base al principio di responsabilizzazione (Art. 30 GDPR), documentare il fatto che le opportune valutazioni sono state svolte.