Per l’Italia la figura del DPO è sicuramente una delle principali novità del Regolamento UE 2016/679. Nelle Strutture Sanitarie, con il nuovo regoamento privacy, sarà frequente l’individuazione del DPO. Infatti, tra i titolari rientranti nell’obbligo l’articolo 37 lettera c) richiama quelli le cui attività principali consistono nel trattamento, su larga scala, di categorie particolari di dati personali (ovvero i c.d. dati sensibili).

In sanità, quindi il problema di individuare una persona che possa rivestire tale funzione è molto sentito. In questi giorni anche il Garante, attraverso una nota inviata a un'azienda ospedaliera, è intervenuto per dare qualche delucidazione sul tema.

Quali, quindi, i requisiti che deve verificare il titolare del trattamento in sede di selezione dei candidati a ricoprire tale ruolo di Data Protection Officer?

Nel capitolo 12 del nostro progetto editoriale dedicato all’esame del regolamento abbiamo cercato di approfondire tutti gli aspetti rilevanti di questa nuova funzione aziendale.

In primo luogo, è fondamentale verificare l'approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. In questo senso, indubbiamente sarà poi opportuno privilegiare quei soggetti che possano dimostrare qualità professionali adeguate alla complessità del compito da svolgere, magari documentando le esperienze fatte, la partecipazione a master e corsi di studio/professionali (in particolare se risulta documentato il livello raggiunto).

Ma l’Autorità ha inoltre chiarito che la normativa attuale non prevede l'obbligo per i candidati di possedere attestati formali delle competenze professionali né l’iscrizione ad Albi. Tali attestati, rilasciati anche all'esito di verifiche al termine di un ciclo di formazione, possono rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenza della disciplina ma, tuttavia, non equivalgono a una "abilitazione" allo svolgimento del ruolo del DPO.

Resta un’assoluta autonomia per i titolari circa le modalità di selezione dei propri DPO valutando il possesso dei requisiti necessari per svolgere i compiti da assegnati con gli strumenti che ritengono consoni al proprio settore.