L’IMPORTANZA DI UN DPO COMPETENTE

• 26 Novembre 2021
•   Privacy Verona

L’autorità lussemburghese ha recentemente sanzionato una società (sanzione amministrativa di 18.000 euro) per aver nominato un DPO inadeguato, sostenendo che un DPO adeguato dovrebbe avere almeno tre anni di esperienza professionale nel campo della protezione dei dati.
Nel motivare la propria decisione, l’Autorità ha citato tre fonti:
- l’art. 37 par. 5 GDPR, il quale prevede che “il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”.
- il considerando 97 dello stesso GDPR, secondo cui “il titolare del trattamento o il responsabile del trattamento dovrebbe essere assistito da una persona che abbia una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati nel controllo del rispetto a livello interno del presente regolamento […].
- le linee guida redatte dal WP29, che nella versione italiana, al punto 2.5. (Conoscenze e competenze del RPD) riporta tre ambiti cui il DPO deve sottostare: capacità specialistiche, qualità professionali e capacità di assolvere i propri compiti.

Un DPO quindi, e soprattutto un DPO al servizio di strutture ampie e complesse, deve pienamente soddisfare un elevato standard di capacità e competenza, dato il notevole carico di responsabilità che deve sopportare.
È, dunque, perentorio raccogliere l’indicazione giunta dall’autorità lussemburghese. Non solo per il riferimento temporale, certo indicativo ma non tassativo bensì quanto ai DPO perché continuino a curare la propria competenza specialistica ed ai titolari del trattamento affinché, in modo oculato, scelgano accortamente tale figura.