Siete qui: Oggi sulla stampa
Oggi sulla stampa

Rdp con alte specializzazioni

Conto alla rovescia per la nomina del Responsabile della protezione dei dati (Rdp): deve essere un Dpo (Data protection officer) «doc» e di alto profilo. Le imprese lo devono individuare entro il 25 maggio 2018, a pena di sanzioni pecuniarie salatissime. L’obbligo, previsto dal regolamento europeo sulla privacy (n. 2016/679), vale per i soggetti che, su larga scala, fanno monitoraggio sistematico delle persone oppure trattano, congiuntamente o alternativamente, dati sensibili, biometrici, genetici o dati giudiziari. L’obbligo vale anche per tutte le pubbliche amministrazioni. Il Garante per la protezione dei dati italiano (newsletter 432 del 15 settembre 2017) ha tratteggiato l’identikit dell’Rdp (noto anche come Dpo, acronimo delle parole inglesi): un’alta professionalità, che l’impresa deve valutare curriculum alla mano. Ci vuole la dimostrazione delle competenze, che devono essere mantenute nel tempo. In positivo, questo significa valutare esperienze professionali e formative, come master e attestati delle competenze raggiunte, soprattutto se rilasciati da soggetti autorevoli e riconosciuti. In negativo significa non fidarsi a priori di certificati o bollini. Ecco gli spunti pratici presenti nei documenti del Garante.

Professionalità. L’impresa deve privilegiare chi può vantare una specifica esperienza nel settore merceologico in cui è occupata l’impresa e, nel caso di speciale complessità e delicatezza dei trattamenti, chi può assicurare un impegno pressoché esclusivo.

Conoscenze giuridiche. L’impresa deve chiedere alte qualità professionali, tra le quali certamente, sono pertinenti la conoscenza della normativa e delle prassi nazionali ed europee in materia di protezione dei dati e un’approfondita conoscenza del Regolamento.

Master. Utile la partecipazione ad attività formative specialistiche come master, corsi di studio e professionali, specie se risulta documentato il livello di acquisizione delle conoscenze. Più è qualificato il corso più sarà elemento positivo ai fini della scelta.

Certificazioni. Il regolamento Ue non prevede la certificazione dell’Rdp. Ci sono certificazioni volontarie delle competenze (non del ruolo in quanto tale), che possono rappresentare uno strumento utile per valutare il possesso delle conoscenza della disciplina.

Enti pubblici. Nel caso di un’autorità pubblica o di un organismo pubblico, l’Rdp dovrebbe possedere una conoscenza approfondita anche delle norme e procedure amministrative che caratterizzano lo specifico settore.

Albo e abilitazioni. Le disposizioni non prevedono un albo dei «Responsabili della protezione dei dati. Le certificazioni volontarie non equivalgono, di per sé, a una «abilitazione» allo svolgimento del ruolo dell’Rdp, ma, come detto, sono un aiuto al titolare del trattamento per passare al vaglio le competenze.

Deontologia. L’Rdp deve perseguire l’osservanza delle disposizioni del regolamento, promuovendo la cultura della protezione dei dati: questo comporta sotto il profilo delle qualità personali, anche il possesso di elevati standard deontologici, quali correttezza, lealtà e integrità di condotta.

Sanzioni. In caso di mancata nomina l’impresa rischia una sanzione pecuniaria amministrativa fino a 20 milioni di euro o, se superiore, fino al 4% del fatturato totale mondiale annuo.

Rapporti nero su bianco. Oltre a quanto specificato dal Garante, si aggiunge che tra impresa e Dpo ci vuole un contratto che specifichi diritti e obblighi dell’impresa da un lato e dell’Rdp dall’altro, che deve garantire la sua presenza e la sua reperibilità, programmando sessioni di consulenza e informazioni interne. L’Rdp deve periodicamente inviare comunicazioni, promuovere iniziative ed eventi di sensibilizzazione sui temi della privacy. Deve rendicontare l’attività svolta e assicurare tempi di risposta brevi e predeterminati agli interessati, alla richiesta di pareri sull’osservanza del regolamento e alla richiesta di pareri relativi alla valutazione di impatto privacy.

Il contratto specificherà le prerogative dell’Rdp: accesso agli archivi e possibilità di assumere informazioni direttamente dal personale, tempi certi e predeterminati per il coinvolgimento nelle questioni di privacy, stanziamenti di risorse adeguati ai compiti e un organigramma, che preveda un rapporto diretto con il vertice gerarchico.

Antonio Ciccia Messina

Print Friendly, PDF & Email

Condividi su

Potrebbe interessarti anche
Oggi sulla stampa

Doppio appuntamento per Vincent Bolloré. Oggi si terrà l’assemblea di Vivendi, di cui il finanz...

Oggi sulla stampa

Oggi sulla stampa

Mai così pochi negli uffici pubblici, ma molto più digitalizzati. L’anno della pandemia ha bloc...

Oggi sulla stampa

Oggi sulla stampa

Se ci sarà, come credo, l’approvazione del Recovery Plan italiano, quello sarà un bel passo ava...

Oggi sulla stampa