Il responsabile della protezione dei dati, figura prevista dal regolamento europeo Ue 2016/679 che si prepara a debuttare dal prossimo 25 maggio, non dovrà vantare particolari titoli o abilitazioni, né tantomeno essere iscritto in un Albo. Lo chiarisce il Garante della privacy che ha risposto al quesito di un’azienda ospedaliera. In questo modo, l’Autorità guidata da Antonello Soro inizia a tratteggiare il profilo di un incarico che i privati e la pubblica amministrazione dovranno assegnare per mettersi al passo con le nuove regole sulla privacy.

I compiti

Il responsabile della protezione dati (Rpd) dovrà, infatti, controllare il rispetto del regolamento, informare e sensibilizzare i dipendenti sugli obblighi in materia di riservatezza, valutare l’impatto delle attività svolte dall’azienda o dalla pubblica amministrazione per cui lavora sul sistema interno di tutela delle informazioni personali. Anche per questo dovrà rappresentare un punto di contatto tra la propria impresa e il Garante.

Conoscenze approfondite

Il responsabile della protezione dei dati - o, come lo definisce il regolamento , data protection officer (Dpo) - dovrà, pertanto, avere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, know-how da tarare sulla base delle specifiche esigenze del settore in cui andrà a operare. Non c’è, però, bisogno - anche perché l’attuale normativa non lo prevede - che i candidati dimostrino di possedere particolari titoli o attestati formali a conforto delle loro competenze professionali. Certo, una serie di “certificazioni” non guastano, come, per esempio, l’attestato rilasciato al termine di un corso di formazione. Si tratta, infatti, di elementi che possono agevolare chi deve effettuare la selezione permettendo di capire il livello di preparazione del candidato, ma non si tratta di requisiti equivalenti a un’abilitazione necessaria per svolgere l'incarico.

Impegno esclusivo

Anche se non c’è bisogno di una “patente” di Rpd, il Garante raccomanda di privilegiare chi può dimostrare qualità professionali adeguate alla complessità del compito, magari attraverso la documentazione di eventuali esperienze fatte o la frequenza di corsi di studio o professionali. Inoltre, l’Autorità sottolinea l’impegno che attende il responsabile del trattamento, soprattutto quando si troverà a operare in strutture complesse. All’azienda ospedaliera raccomanda, per esempio, di riservare al futuro Rpd un impegno pressoché esclusivo, anche perché si troverà a gestire dati particolarmente delicati e sensibili come quelli sulla salute o le informazioni genetiche.

