GDPR, come certificare la figura del Data Protection Officer (DPO)

Il 25 maggio 2018 il nuovo regolamento generale sulla protezione dei dati (GDPR) ha assunto piena efficacia anche in Italia. Numerosi e sfaccettati gli adempimenti previsti dalle nuove disposizioni che impattano sulla grande azienda così come sul singolo professionista.

In alcune condizioni, l’impresa è chiamata a nominare il Data Protection Officer (DPO), una persona fisica o una figura giuridica responsabile della protezione dei dati.

La nomina del DPO è obbligatoria nei seguenti casi:

1) Quando il trattamento dei dati è effettuato da autorità o organismo pubblico (i.e. pubbliche amministrazioni).
2) Quando le attività principali del titolare o del responsabile consistono in trattamenti che richiedono “il monitoraggio regolare e sistematico degli interessati su larga scala“.
3) Quando le attività principali del titolare o del responsabile consistono nel trattamento di dati sensibili o giudiziari.

Come spesso accade, alcuni punti sono più aperti all’interpretazione, anche in relazione al contesto. Innanzi tutto per “attività principali” si intendono le operazioni essenziali che sono necessarie al raggiungimento degli obiettivi perseguiti dal titolare o dal responsabile del trattamento. In altre parole quando il trattamento costituisce una componente inscindibile dalle attività svolte dal titolare o dal responsabile.
All’atto pratico, se un trattamento dei dati non può dirsi correlato alle attività principali della società e quindi non concorre al raggiungimento degli obiettivi tipicamente perseguiti dalla realtà imprenditoriale, allora la nomina del DPO non è obbligatoria.

Il monitoraggio regolare, poi, è da intendersi quando il trattamento viene effettuato continuativamente o ad intervalli periodici; è sistematico quando avviene, ad esempio, nell’ambito di un progetto complessivo di raccolta dei dati, se effettuato nell’ambito di una strategia, se semplicemente è realizzato con un sistema organizzato/metodico.
Infine, è su larga scala, a seconda del numero di soggetti interessati dal trattamento (in percentuale o in termini assoluti), del volume dei dati, della durata e della portata geografica delle attività di trattamento.

Come certificare la figura del Data Protection Officer (DPO) con un organismo accreditato da Accredia

Compreso in quali circostanze la normativa, entrata in vigore da tempo (il 25 maggio 2016) e con piena efficacia dal 25 maggio 2018, impone la nomina del DPO, che deve essere esplicitamente citato nelle policy sulla privacy, è interessante evidenziare come il professionista possa intraprendere un percorso di certificazione su base volontaria. Per il DPO si apre in questo modo l’opportunità di ottenere, da parte di un organismo accreditato da Accredia, un certificato che attesta le sue abilità e competenze nel rispetto dei requisiti previsti dal regolamento GDPR.

Il DPO certificato sotto accreditamento può così presentarsi ai clienti e alle società interessate dall’obbligo di avere questa figura in organigramma con una serie di credenziali e referenze vidimate da un organismo di certificazione competente, indipendente e imparziale, perché accreditato da Accredia, l’ente italiano di accreditamento designato dallo Stato.

Tra i compiti del DPO ricordiamo i seguenti:

– Informare e consigliare in merito agli obblighi prescritti dal GDPR.
– Verificare l’attuazione e l’applicazione della normativa.
– Fungere da punto di contatto per gli interessati, in merito a qualunque problematica connessa al trattamento dei loro dati, e per il Garante per la protezione dei dati personali.

Il ruolo del DPO è delicato e allo stesso tempo prestigioso: proponendosi alle aziende il professionista che ha ottenuto la certificazione può esibire un’attestazione inequivocabile delle sue competenze, con il plus della validità internazionale, dal momento che i certificati accreditati sono riconosciuti, in UE e nel mondo, sulla base di specifici accordi sottoscritti tra gli enti di accreditamento dei diversi Paesi.

L’Italia risulta tra i capofila dell’Unione europea in materia di tutela della privacy e Accredia continua a collaborare fattivamente con il Garante Privacy mettendo a disposizione la sua esperienza in tema di accreditamento degli organismi di certificazione.

Sulla base di quanto contenuto in questa circolare tecnica, in particolare, fornisce indicazioni per l’accreditamento degli organismi che certificano la figura del DPO, sulla base dei requisiti indicati nella norma tecnica UNI 11697:2017.

Tutti i professionisti in materia trattamento e protezione dei dati personali possono da oggi rivolgersi ai soggetti accreditati da Accredia per ottenere una certificazione di competenza documentata e riconosciuta a livello nazionale e internazionale.

Oltre che acquisire una certificazione per il ruolo di DPO, si potranno ottenere analoghi documenti per i ruoli di Manager, Valutatore e Specialista Privacy, egualmente previsti nella normativa tecnica UNI 11697 e i cui requisiti di competenza sono stati dettagliatamente descritti.

È importante tenere presente che agli stati membri dell’Unione viene concessa facoltà di prevedere ulteriori condizioni in base alle quali la nomina del DPO è obbligatoria. Non è quindi affatto escluso che nel prossimo futuro l’Italia possa decidere di ampliare le categorie di aziende e di estendere le attività per le quali la designazione di un DPO non solo è preferibile ma diventerà essenziale.
In quest’ottica poter vantare una certificazione delle proprie competenze sul tema del trattamento dei dati in piena aderenza ai requisiti del GDPR offrirà un vantaggio competitivo durante i colloqui di lavoro e la selezione del consulente migliore.

Maggiori informazioni sui soggetti accreditati per la certificazione delle competenze dei professionisti in materia di protezione dei dati personali sono reperibili sul sito ufficiale di Accredia.