Asmel
Registrati Accedi

DPO IN RETE
Community DPO Enti Locali

Menu

Normativa   |   RPD/DPO   |   Titolare-Responsabili-Designati  

Pubblicato il

DPO/RPD: approfondimenti sui requisiti per la designazione

DPO/RPD: approfondimenti sui requisiti per la designazione

Quali sono i requisiti per essere designato DPO/RPD?

Il GDPR prescrive che sia scelto “in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39“.
E l’art. 39 ne descrive i compiti:
a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
d) cooperare con l’autorità di controllo; e
e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

****************
Le prime domande che ci si può porre (le risposte sono frutto di valutazioni personali) sono:

Deve essere laureato?
La normativa non lo prescrive espressamente.

Se laureato o diplomato deve essero in materie giuridiche o tecnico/informatiche?
Anche in questo caso non ricaviamo alcuna indicazione univoca dalla norma. Leggendo le competenze ed il ruolo appare indispensabile una conoscenza giuridica (non solo teorica, ma anche pratico-operativa) ma non si può escludere che questa sia frutto di un percorso non curriculare.
Quindi possiamo avere:
– laureato in giurisprudenza (o simili) con capacità tecnologiche informali ed esperienza lavorativa nel settore
– laureato in ingegneria informatica (o simili) con conoscenze giuridiche ed esperienza lavorativa nel settore
– non laureato con capacità informatiche (formali o sostanziali) e conoscenze giuridiche e della prassi amministrativa

Chi sceglie quali sono i requisiti da possedere?
Il titolare. Il titolare è tenuto ad accertare i requisiti se del caso prevedendo un bando/avviso per la selezione anche mediante colloquio, prove teorico-pratiche o altri strumenti analoghi e dovrà darne conto (responsabilizzazione) in caso di controllo.

Esistono corsi o certificazioni obbligatori?
NO, non sono previsti nè prescritti corsi o certificazioni indispensabili per divenire DPO/RPD. La necessità che il designato abbia le capacità descritte impone tuttavia che lo stesso si aggiorni costantemente e pertanto dovrà essere accertata la sua capacità di aggiornamento e formazione personale da parte del titolare

Quale è il tariffario del DPO/RPD?
Non esiste nè può esistere. La determinazione è rilasciata al libero mercato (se consulente esterno) o alla contrattazione collettiva e decentrata se dipendente del titolare.

Occorre un atto formale di designazione ed esistono modelli standard?
Occorre che la designazione sia formalizzata tanto che, successivamente, deve esserne data comunicazione al Garante privacy mediante apposito modulo online (https://servizi.gpdp.it/comunicazione-rpd/) ma non esiste una modulistica per la designazione anche se il Garante ha suggerito uno schema: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/7322273

Un DPO/RPD può svolgere la propria attività per più titolari?
Sì, formalmente non vi sono incompatibilità “teoriche” anche se, “praticamente” vi sono dei limiti impiciti:
1) un soggetto non può essere in posizione di conflitto di interessi, quindi non può essere DPO/RPD e contemporaneamente fornitore di servizi relativi al trattamento dati per conto del titolare
2) un DPO/RPD non può avere incarichi che numericamente rendano impossibile o difficile il serio svolgimento dell’attività per il singolo titolare
3) DPO/RPD non può avere legami (familiari, economici e personali) con i vertici aziendali (esercenti funzioni di titolare) che lo pongano in conflitto di interessi. Mutuando quanto previsto dall’art. 42 del Dlgs 50/2016 si potrebbe dire che “Si ha conflitto d’interesse quando il DPO/RPD interviene nello svolgimento della attività  e può influenzarne, in qualsiasi modo, il risultato, avendo, direttamente o indirettamente, un interesse finanziario, economico o altro interesse personale che può essere percepito come una minaccia alla sua imparzialità e indipendenza nel contesto della procedura”.

Il DPO/RPD è solo una persona fisica o può essere una persona giuridica?
Può essere anche una persona giuridica il soggetto che svolge le funzioni di DPO/RPD anche se occorre comunque sempre la designazione (e relativa nomina al Garante) della singola persona fisica che opera per conto del titolare e sul quale si è effettuata la verifica dei citati requisiti

Dove posso trovare approfondimenti
Ecco alcuni spunti:
Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico (in aggiunta a quelle adottate dal Gruppo Art. 29)
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/7322110

Faq sul Responsabile della Protezione dei Dati (RPD) in ambito privato
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8036793

Guidelines on Data Protection Officers (‘DPOs’) (wp243rev.01)
http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

http://www.omniavis.it/web/forum/index.php?topic=46588.0

http://www.omniavis.it/web/forum/index.php?topic=45595.0

http://www.omniavis.it/web/forum/index.php?topic=46589.new#new

http://www.omniavis.it/web/forum/index.php?topic=45512.0

http://www.omniavis.it/web/forum/index.php?topic=45519.0

http://www.omniavis.it/web/forum/index.php?topic=44825.0

http://www.omniavis.it/web/forum/index.php?topic=45060.0

http://www.omniavis.it/web/forum/index.php?topic=45465.0

http://www.omniavis.it/web/forum/index.php?topic=46584.0

http://www.omniavis.it/web/forum/index.php?topic=45087.0

http://www.omniavis.it/web/forum/index.php?topic=46542.0

http://www.omniavis.it/web/forum/index.php?topic=46590.0

https://www.gdprchiaro.it/indice-faq.html

*********************
Dott. Simone Chiarelli
simone.chiarelli@gmail.com
Tel. +39 3337663638
 
Cercami anche sui social:




Correlati

Nomina RPD e comunicazione al Garante: obbligo troppo spesso disatteso dai Comuni
marzo 26, 2024
Provvedimento Garante Privacy – Gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati
febbraio 27, 2024
Pubblicato il Piano Triennale per l’Informatica nella PA 2024-2026
febbraio 23, 2024

torna all'inizio del contenuto

I cookie permettono il funzionamento di alcuni servizi di questo sito. Utilizzando questi servizi, accetti l'utilizzo dei cookie da parte nostra. Per saperne di più Close