Il prossimo 25 maggio 2018 entrerà definitivamente in vigore il nuovo Regolamento sul trattamento dei dati 679/2016 (o GDPR – General Data Protection Regulation). Fra le varie innovazioni della norma di stampo comunitario, una decisamente importante riguarda i principali attori del trattamento dei dati.
Così, se da un lato restano invariate le figure del Titolare e del Responsabile al trattamento e gli «interessati» di cui all’art. 4 del Codice privacy (D. Lgs. 196/2003) non vengono direttamente previsti dal Regolamento, dall’altro la vera novità è rappresentata dall’introduzione di un nuovo “interprete” della tutela alla riservatezza: quella del Responsabile per la protezione dei dati o DPO (Data Protection Officer), nella sua declinazione anglofona.
Questa figura, come indicato all’art. 37 del nuovo testo normativo, deve essere individuata «in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati», fornisce consulenza all’interno dell’Organizzazione circa la compliance del Regolamento oltre a rappresentare il punto di contatto con l’Autorità di controllo.
Tuttavia, nonostante l’ormai imminente applicazione del Regolamento, la figura del DPO è ancora avvolta in un clima di incertezza riguardo ai titoli necessari allo svolgimento del ruolo. A fronte delle FAQ pubblicate lo scorso dicembre, in cui l’Authority sottolinea come non siano richieste particolari “abilitazioni” dato che l’attività del DPO rientra tra le cosiddette “professioni non regolamentate”, si assiste sempre di più a un’incessante proliferazione di certificazioni e attestazioni formali per la sua qualifica.
Dunque, se certamente si può rilevare senza tema di smentita l’importanza che i corsi specializzazione, spesso erogati da autorevoli enti di formazione, rivestono al fine di testimoniare il livello di preparazione raggiunto dal soggetto e, quindi, di una valutazione per la sua nomina, ciò non di meno non bisogna perdere di vista le indicazioni fornite dal Garante riguardo l’assenza – nel momento in cui scriviamo – di formali attestazioni prodromiche all’incarico di Data Protection Officer.
Dott. Lorenzo Giannini (consulente Privacy e DPO)