Al momento della definizione dei requisiti in base ai quali individuare il soggetto da incaricare quale DPO, l’ente pubblico deve evitare restrizioni all’accesso alle selezioni che possano risultare sproporzionate e ingiustificate rispetto alla figura
ritenuta necessaria, ma tenere in debita considerazione l’attinenza e la proporzionalità tra quanto richiesto (le qualità professionali di cui all’art. 37, par. 5, del Regolamento) e la complessità del compito da svolgere nel caso concreto (come il contesto in cui il DPO sarà chiamato ad operare o le caratteristiche dei trattamenti effettuati dall’ente designante).
****** CORSO ON LINE AGGIORNAMENTO DPO ***********
Preliminarmente, si rende necessario che l’ente pubblico valuti le
qualità professionali, le conoscenze specialistiche e l’esperienza in materia di protezione dei dati
personali in capo alla figura da incaricare quale RPD, tenendo conto dei trattamenti che effettua,
prestando particolare cura, ad esempio, alla complessità dei trattamenti stessi, alla qualità e
quantità di dati personali trattati, all’esistenza di trasferimenti sistematici ovvero occasionali di
dati personali al di fuori dell’Unione europea.
Ciò comporta che, in ambito pubblico, il RPD debba certamente conoscere la normativa e le prassi nazionali ed europee in materia di protezione dei dati (a partire da un’approfondita conoscenza del Regolamento), nonché possedere
un’adeguata conoscenza anche delle norme e procedure amministrative che caratterizzano lo
specifico settore, in quanto la liceità del trattamento dei dati personali in questo ambito dipende
dalla corretta applicazione delle regole di volta in volta previste dalla disciplina di settore.
Per quanto concerne la conoscenza di norme e prassi in materia di protezione dei dati personali, essa può essere dimostrata, in primo luogo, attraverso una documentata esperienza professionale e/o anche attraverso la partecipazione ad attività formative specialistiche (ad esempio, master, corsi di studio e professionali, specie se risulta documentato il livello di
acquisizione delle conoscenze). Rientra in questo contesto anche la certificazione volontaria acquisita sulla base della norma tecnica italiana UNI 11697 “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza”, che può rappresentare un elemento utile di
valutazione della preparazione del candidato, ma non un’abilitazione di per sé aprioristica.
******* CORSO ON LINE ESPERTO DPO *****
Analogamente, la conoscenza specialistica sarà dimostrata dalle attività, dalle esperienze lavorative e professionali svolte, risultanti, ad esempio, dal curriculum e dalle autocertificazioni presentate. Particolare valore potrà assumere l’eventuale esperienza del candidato in organizzazioni simili a quella del titolare.
In tale contesto, preme in ogni caso evidenziare che la competenza a ricoprire il ruolo di RPD non può essere astrattamente riconosciuta in capo ad una qualsiasi figura per effetto del semplice possesso di specifici titoli (laurea, iscrizione ad un albo professionale, certificazione). Il titolare del trattamento è infatti tenuto a valutare nel complesso gli elementi previsti dall’art. 37, par. 5, del Regolamento e, qualora intenda richiedere un titolo di studio specifico, è chiamato a tenere in dovuta considerazione la proporzionalità tra quanto richiesto e la complessità del compito da svolgere nel caso concreto, comprovando le proprie scelte ai sensi degli artt. 5, par. 2, e 24 del Regolamento, a partire da un’adeguata motivazione nel provvedimento di assegnazione formale dell’incarico.
Fonte: Linee guida Garante Privacy – Documento di indirizzo su designazione, posizione e compiti del
Responsabile della protezione dei dati (RPD) in ambito pubblico