Il Garante si pronuncia sulle certificazioni delle competenze del DPO

In una comunicazione in risposta a specifico quesito in ordine alle certificazioni delle competenze per la nomina del DPO, proposto da un’azienda ospedaliera, il Garante, tramite il Dirigente Francesco Modafferi, ha rimarcato che

In relazione alle questioni sottoposte all’attenzione dell’Autorità, si rappresenta quindi in primo luogo che, allo stato, le disposizioni non prevedono un albo dei “Responsabili della protezione dei dati”, che attesti i requisiti e le caratteristiche di conoscenza, abilità e competenza, previste dal citato quadro normativo né richiedono che tali requisiti siano attestati attraverso specifiche certificazioni.

Come in altri ambiti delle cosiddette “professioni non regolamentate”, si vanno diffondendo schemi di certificazione volontaria delle competenze professionali  effettuate da appositi enti certificatori. Tali certificazioni (che non rientrano tra quelle disciplinate dall’art. 42 del Regolamento (UE) 2016/679), rilasciate anche all’esito della partecipazione ad attività formative e alla verifica dell’apprendimento, se possono rappresentare, al pari di altri titoli, uno strumento per valutare il possesso di un livello minimo di conoscenza della disciplina, tuttavia non equivalgono, di per sé, a una “abilitazione” allo svolgimento del ruolo del RPD, né, allo stato, possono sostituire in toto la valutazione della p.a. nell’analisi del possesso dei requisiti del RPD necessari per svolgere i compiti da assegnargli in conformità all’art. 39 del Regolamento (UE) 2016/679.

Spetta dunque al Titolare del trattamento la verifica in ordine alle conoscenze specialistiche possedute dal DPO da nominare, richiamate all’art. 37 del GDPR.

A tal riguardo  nel predetto documento si trova ulteriormente precisato che:

Con riferimento alle qualità professionali, l’articolo 37, paragrafo 5, non specifica quali tra queste debbano essere prese in considerazione nella nomina di un RPD; certamente, sono pertinenti, al riguardo, la conoscenza della normativa e delle prassi nazionali ed europee in materia di protezione dei dati e un’approfondita conoscenza del Regolamento.

Tale ultima qualità può essere dimostrata, in primo luogo, attraverso una documentata esperienza professionale e/o anche attraverso la partecipazione ad attività formative specialistiche (es.:  master,  corsi di studio e professionali, specie se risulta documentato il livello di acquisizione delle conoscenze).

Si segnala il link a cui reperire l’intera risposta al quesito:

Garante – Quesiti in materia di certificazione delle competenze ai fini della prestazione di consulenza in materia di protezione dei dati personali

 

Leave a Reply

Your email address will not be published. Required fields are marked *