Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Quesiti in materia di certificazione delle competenze ai fini della prestazione di consulenza in materia di protezione dei dati personali.

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
7057222
Data:
28/07/17
Tipologia:
Quesiti di soggetti pubblici e privati

c.a. AZIENDA OSPEDALIERA DEI COLLI

Quesiti in materia di certificazione delle competenze ai fini della prestazione di consulenza in materia di protezione dei dati personali.

Con la nota sopra evidenziata, codesta Azienda ha formulato alcuni quesiti in ordine ai requisiti da richiedere ai candidati "nell'ambito di una procedura di incarico per consulenza in materia di privacy….per il titolo di Privacy Officer".

Occorre in primo luogo chiarire se, attraverso la predetta procedura, si intenda selezionare una figura di consulenza generica in materia di protezione di dati personali oppure il soggetto che ricoprirà il ruolo di "Responsabile della Protezione dei Dati" (RPD), previsto dal Regolamento (UE) 2016/679 "relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)", in vigore dal 24 maggio 2016, che diventerà applicabile a partire dal 25 maggio 2018.

Soltanto in tale ultimo caso, la selezione dovrà tener conto di quanto previsto dal citato Regolamento n. 2016/679, il quale, nel disporre l'obbligo per tutti i soggetti pubblici di nominare un Responsabile della protezione dei dati, specifica che tale figura "è designat(a) in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all'articolo 39" (art. 37, paragrafi 1, lett. a) e 5) e che "il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento" (considerando 97).

La medesima normativa prevede che, una volta designato il Responsabile della protezione dei dati, occorre pubblicare e comunicare al Garante le sue generalità (art. 37, paragrafo 7).

Al fine di facilitare l'assimilazione e l'applicazione di tali nuove regole previste dal citato quadro giuridico, sono state adottate dal "Gruppo di lavoro art. 29" (organo consultivo indipendente dell'UE per la tutela delle persone con riguardo al trattamento dei dati personali, istituito ai sensi dell'articolo 29 della direttiva 95/46/CE) delle "Linee guida" sul responsabile della protezione dei dati (RPD), reperibili sul sito del Garante (doc. web n. 5930287).

Il citato documento, nel punto 2.5., approfondisce gli aspetti relativi al livello di conoscenza specialistica e alle competenze del RPD.

Per esempio, se un trattamento riveste particolare complessità oppure comporta un volume consistente di dati sensibili, il RPD avrà probabilmente bisogno di un livello più elevato di conoscenze specialistiche e di supporto. Occorre anche distinguere in base all'esistenza di trasferimenti sistematici ovvero occasionali di dati personali al di fuori dell'Unione europea. Ne consegue la necessità di una particolare attenzione nella scelta del RPD, in cui si tenga adeguatamente conto delle tematiche in materia di protezione dei dati con cui il singolo titolare deve confrontarsi.

Nel caso di un'azienda ospedaliera, la speciale complessità e delicatezza dei trattamenti di dati effettuati (dati sulla salute e dati genetici che costituiscono una  categoria particolare di dati personali -art. 9, Reg. n. 2016/679) consiglia di privilegiare, nella selezione di questa figura, quella che può vantare una specifica esperienza al riguardo e assicurare un impegno pressoché esclusivo nella gestione dei trattamenti di questa tipologia di dati.

Con riferimento alle qualità professionali, l'articolo 37, paragrafo 5, non specifica quali tra queste debbano essere prese in considerazione nella nomina di un RPD; certamente, sono pertinenti, al riguardo, la conoscenza della normativa e delle prassi nazionali ed europee in materia di protezione dei dati e un'approfondita conoscenza del Regolamento.

Tale ultima qualità può essere dimostrata, in primo luogo, attraverso una documentata esperienza professionale e/o anche attraverso la partecipazione ad attività formative specialistiche (es.:  master,  corsi di studio e professionali, specie se risulta documentato il livello di acquisizione delle conoscenze).

Ciò, anche considerato che, nel caso di un'autorità pubblica o di un organismo pubblico, il RPD dovrebbe possedere una conoscenza approfondita anche delle norme e procedure amministrative che caratterizzano lo specifico settore, in quanto la liceità del trattamento dei dati personali in questo ambito dipende dalla corretta applicazione delle regole di volta in volta previste dalla disciplina speciale.

In relazione alle questioni sottoposte all'attenzione dell'Autorità, si rappresenta quindi in primo luogo che, allo stato, le disposizioni non prevedono un albo dei "Responsabili della protezione dei dati", che attesti i requisiti e le caratteristiche di conoscenza, abilità e competenza, previste dal citato quadro normativo né richiedono che tali requisiti siano attestati attraverso specifiche certificazioni.

Come in altri ambiti delle cosiddette "professioni non regolamentate", si vanno diffondendo schemi di certificazione volontaria delle competenze professionali  effettuate da appositi enti certificatori. Tali certificazioni (che non rientrano tra quelle disciplinate dall'art. 42 del Regolamento (UE) 2016/679), rilasciate anche all'esito della partecipazione ad attività formative e alla verifica dell'apprendimento, se possono rappresentare, al pari di altri titoli, uno strumento per valutare il possesso di un livello minimo di conoscenza della disciplina, tuttavia non equivalgono, di per sé, a una "abilitazione" allo svolgimento del ruolo del RPD, né, allo stato, possono sostituire in toto la valutazione della p.a. nell'analisi del possesso dei requisiti del RPD necessari per svolgere i compiti da assegnargli in conformità all'art. 39 del Regolamento (UE) 2016/679.

Sotto altro profilo, secondo le citate Linee guida, la capacità di assolvere i propri compiti da parte del RPD deve essere considerata sia in relazione alle qualità personali e alle conoscenze dello stesso, sia in relazione alla posizione del RPD all'interno dell'azienda o dell'organismo.

Il RPD dovrebbe perseguire in via primaria l'osservanza delle disposizioni del Regolamento, promuovendo la cultura della protezione dei dati all'interno dell'azienda o dell'organismo e contribuendo a dare attuazione agli elementi essenziali del Regolamento quali i principi fondamentali del trattamento, i diritti degli interessati, la protezione dei dati sin dalla fase di progettazione e per impostazione predefinita, i registri delle attività di trattamento, la sicurezza dei trattamenti e la notifica e comunicazione delle violazioni di dati personali (cfr. punto 2.5. delle citate Linee guida). Ciò comporta, quindi, sotto il profilo delle qualità personali, anche il possesso di elevati standard deontologici, quali correttezza, lealtà e integrità di condotta.

Sull'argomento, il Garante si riserva di fornire ulteriori orientamenti, che saranno pubblicati sul sito istituzionale, anche all'esito dei quesiti e delle richieste di approfondimento sul Regolamento emerse nell'ambito degli incontri che l'Autorità ha tenuto con la Pubblica Amministrazione nelle scorse settimane.

Si resta a disposizione per ogni ulteriore chiarimento.

IL DIRIGENTE
(Francesco Modafferi)