00 SCELTA DEL DPO - SINTESI CONCLUSIVA PER LA MIGLIOR SCELTA
Si riporta di seguito la sintesi riassuntiva di rilievo per quanto integralmente riportato alla sezione 1.
L'art. 37 al comma 4 in particolare - ma non solo - indica, per i casi diversi da quelli definiti al comma 1, l'obbligatorietà di nominare un DPO per tutti quei soggetti privati che trattano dati sensibili (per es. chi ha implementato la privacy oppure ha aderito alla lg. 231, ndr) e che il DPO può operare anche per soggetti diversi.
Al comma 7 si precisa che il Titolare comunica la designazione del DPO prescelto al Garante.
L'art. 38 specifica quale sia la posizione del DPO all'interno del contesto aziendale, ed in particolare si pone in evidenza che:
comma 1 => il Titolare ed il Responsabile si assicurano che il DPO è sempre coinvolto nella gestione dei trattamenti
comma 2 => il Titolare ed il Responsabile sostengono il DPO nelle sue attività e gli forniscono le risorse necessarie per adempiere (il DPO) a quanto previsto dall'art. 39 e per il suo aggiornamento
comma 3 => il Titolare ed il Responsabile si accertano che il DPO sia autonomo (e non certo espressione di un team ;-) ) , il DPO non viene penalizzato in alcun modo e riferisce solo al Titolare ed al Responsabile ed a nessun altro
comma 4 => il DPO può essere contattato direttamente dagli interessati per verificare se i loro diritti sono rispettati in base al regolamento GDPR (il DPO deve quindi fornire risposte ufficiali di natura tecnica informatica)
L'art. 39 specifica quali siano i compiti a cui il DPO si deve attenere : "informare, fornire consulenza (tecnica informatica/cyber security per la protezione dei dati), sorvegliare l'attuazione del regolamento, fornire - se richiesto - un parere (tecnico informatico/cyber security) per la valutazione dell'impatto sulla protezione dei dati, cooperare con l'Autorità di Controllo (ed i suoi organi ispettivi: la Guardia di Finanza), considerare debitamente i rischi (informatici) inerenti al trattamento, tenuto conto della natura (digitale), dell’ambito di applicazione, del contesto e delle finalità del medesimo"
In estrema sintesi, il DPO è: un tecnico informatico con grandi esperienze sistemistiche, forti competenze in cyber security, adeguate conoscenze normative, in grado di rapportarsi nel giusto modo con gli Organi Ispettivi e l'Autorità di controllo, capace di sorvegliare l'attuazione delle procedure e dei regolamenti all'interno di un'azienda in autonomia e dovendo riferire direttamente ed unicamente alla proprietà.
Và ricordato infine che il Titolare è tenuto a comunicare il nominativo del DPO scelto al Garante.
Se in seguito emerge che tale figura era priva dei requisiti formali previsti per questo ruolo ab origine … provate ad indovinare voi le conseguenze!!!
Ultimo aspetto rilevante è relativo alle "dimostrabili a priori" competenze tecniche informatiche e di cyber security necessarie per svolgere con adeguata preparazione il ruolo del DPO.
Oltre che le classiche certificazioni documentali (che fanno parte dei requisiti minimi del cv del soggetto selezionato per il ruolo del DPO) è importante che sia dimostrabile anche una buona prevalenza di pregressa esperienza continuava nel settore informatico e di cybersecurity (almeno 5 anni).
Diversamente, magari se l'attività prevalente è un'altra, tale soggetto non sarà in grado di essere autonomo nello svolgimento del suo incarico e dovrà necessariamente fare affidamento su altre profili in violazione a quanto previsto dal regolamento.