Il parere dell’Antitrust sui requisiti professionali del DPO: cosa cambia?

Con l’introduzione del Regolamento (UE) 2016/679 (il “GDPR”), l’articolo 37 stabilisce i casi in cui le Pubbliche Amministrazioni e gli operatori privati, in quanto titolari del trattamento dei dati personali, debbano provvedere a designare obbligatoriamente il Data Protection Officer (DPO).

Il DPO è destinato ad assolvere molteplici funzioni:

• di supporto e controllo;
• consultive;
• formative e informative

relativamente all’applicazione del Regolamento.

L’articolo 37, tuttavia, non specifica le qualità professionali da prendere in considerazione nella nomina del DPO, prevedendo soltanto:

• la conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati;
• la capacità di assolvere i compiti di cui all’articolo 39.

Per tali ragioni, l’Autorità Garante della concorrenza e del Mercato (Agcm) ha fornito alcune osservazioni sui requisiti e modalità per la nomina dei DPO esterno, ai sensi dell’articolo 37, comma 6 del GDPR.

L’Autorità, in particolare, ha evidenziato che né il Regolamento, né le successive Linee Guida elaborate dal Gruppo di lavoro “Articolo 29” richiedono un’abilitazione professionale per l’esercizio del ruolo di RDP: di conseguenza, ha ritenuto “discriminatorio e non giustificato” richiedere l’obbligatoria iscrizione all’albo degli avvocati nell’ambito della procedura, indetta dalla Pubblica Amministrazione, per la selezione di un DPO esterno. A giudizio dell’Agcm, tale requisito si dimostra inidoneo a dimostrare il possesso delle competenze tecniche per lo svolgimento adeguato del servizio e si palesa, al contrario, del tutto sproporzionato e discriminatorio, perché escluderebbe in modo ingiustificato dalla competizione soggetti esperti della materia, ma non iscritti all’albo.

Quali competenze per il DPO? I percorsi formativi proposti da Hedya

La prassi più recente evidenzia come il DPO debba possedere evidenti e concrete qualità professionali e gestionali, adeguate alla complessità del compito da svolgere, che possono essere supportate da esperienze formative.

Per tali motivi, Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

1. Corsi di formazione per Data Protection Officer

• Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
• Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

• Corso “GDPR: LE PRINCIPALI NOVITÀ SULLA PROTEZIONE DEI DATI PERSONALI”, per consentire a tutti i soggetti coinvolti nel trattamento dei dati personali (ad esempio, personale dipendente) di ottenere un’adeguata formazione e aggiornamento in materia di gestione dei dati personali.

Ulteriori dettagli sui percorsi formativi sono disponibili qui.